米国オンライン詐欺事情・コメンタリー

本ブログ著者が、ベンチャー・リンクのオンラインマガジン「Next One（www.nextone.jp ）」の２００５年９月２９日号にとりあげられました（フィッシング詐欺について取材を受けました）。写真入りです！

人間は自分に身の危険がおよばないと、実感がわかないものです。天災もそうですが、ほとんどの人にとって個人情報の漏洩はまだ「対岸の火事」かもしれません。特に日本人はそうでしょう。私も実際の「被害」は、身に覚えのない５０ドル程度のチャージ（しかもいったこともないドイツで）がクレジットカードにあり、カスタマーサービスと話してそくそのチャージを落としてもらい、しばらくそのカードをとめてもらった（最終的にはキャンセルしました）くらいです。それでももちろんめんどうといえばめんどうですが。

もし自分のクレジットカードがそれだけであり、クレジットカードを必要性が高い時期であればそれなりの不便さを感じたかもしれませんが、そうではなかったので助かりました。

この記事　（http://www.pantagraph.com/news/update9304.html 　）でとりあげられている米国人の女性はそれほど幸運ではなかったそうです。読み物としておもしろく（失礼！）、結構長いのでさわりだけにしますが、彼女は、

＊ 57歳にして個人情報盗用の被害にあった

＊ 今までにカスタマーサービスや店などと延べ1800時間交渉してきた

＊ インターネットではなく、地方の小さい病院の事務所である女性に個人情報を盗まれた

＊ この犯人は、重罪の起訴だったが軽犯罪の判決（２年間素行を注視されて評価される）で済んだ

＊ この犯人は他の犯罪者に情報を転売したらしく、いまだにこの被害者のクレジットカードには身に覚えのないチャージが現れる。

＊ 前指摘したクレジットスコアのもとになるクレジット利用履歴（クレジットヒストリー）を扱い更新している機関のもつ自分の情報の正確性に常に疑問をもたなければならないため、この被害者は私も米国ではいっていたようなモニターサービス（クレジットヒストリーに傷がついていないかどうか１ヶ月に１度くらい報告がくる有料のサービス）を使っているが、それしか自分を守るすべがなくとても不安。

という状況下にあります。とても同情しますよね。日本もこんなことにならないようにしなければと思いませんか？

日本で「オレオレ詐欺」「振り込め詐欺」がはやってきたからくりは、事故やスキャンダルなどを示談するなど、非常時や非日常的なできごとがおき、穏便に金ですませるのがよさそうだと思わせる人間心理、それも今やらないというハイプレッシャー、パニックの状況を作ってということが背景にあると思います。「これはやばいことになった、ここで個人情報をあげて金をはらえば逃れられる」という心理をついた犯罪です。これに警察官や裁判官などの「権威・権力」がさらに付加されればわれわれは怖くなって従うという心理も働きます。

米国では少しやり方は違うのですが、ちらほら最近記事が増えているのが（例は、　http://www.woai.com/news/local/story.aspx?content_id=F31DBE04-1424-4DE9-8BE2-E2298CA80EB9 　）、「陪審員詐欺」とでもいえるやり口で、やり口はソフトですが似ているなあと思わせます。日本では若干詳細は異なっていますが「裁判官制度」として近い将来導入されるこの制度では、ランダムに選ばれた市民が裁判の陪審員を務める義務があり、これはたとえ職場も拒めず市民の義務として重要なものです。審議が何日も続いたらそれこそ一般人には大変です。私の周りのアメリカ人も大体生まれてからこの通知を受けたことが１度はあるようです。

さて、この場合の詐欺は、「召喚通知が出ているのに出頭しないのはまずいですよ」と裁判所の事務員を装った人から電話があり、こちらがうろたえたり、そんな通知はもらっていないというと、「事務的な間違いがあるかもしれないので、念のため社会保障番号（これはとても米国では大事なＩＤ番号です。以前ふれた「クレジット・スコア」もこれに紐づいています）、氏名、生年月日などを教えてくれたらこちらのリストと照会して今はっきりさせる」といって個人情報をかすめとるというやり口です。もちろんそんな情報をあげてしまえば、自分の名前で高額な買い物をされたり、銀行口座から引き出されたりする運命が待っています。

このケース（www.kirotv.com/news/5028075/detail.html ） は、純粋な「オンライン詐欺」ではありませんが、日本では携帯電話、簡単にとれる住民票などによる個人情報の漏洩や詐欺行為も多いですし、複合的な詐欺行為は増加すると思いますのでとりあげます。米国ワシントン州で、カイロプラクターの患者の個人情報を意図的に盗み、小切手（米国では個人が小切手帳をもち、日常的な請求書の支払いに多用します）の偽造や盗んだ個人の小切手口座から現金を引き出したりなどの詐欺行為を働いていた４人を逮捕したということです。そのうちの１人の２２歳の男にローカルのテレビ局が連行前にすばやく聞いたところでは、犯罪歴があり職にありつけず、ガールフレンドを使って犯行を重ねていたという輩だそうです。あきれますね。地元の警察の談話が出ていますが、医者にはプライバシーに大きくかかわるような個人情報が集まる傾向にあるので、ある意味目のつけどころはよかったのでしょう。病院やクリニックからの情報漏洩は日本ではまだあまり聞きませんが、もし起こった場合大きな問題になるでしょう。アメリカでは、故意かそうでないかは別にして赤ん坊のすりかえを防ぐために、生まれるとすぐＩＤ番号をふったバンドをつけ、 それで管理をすると聞きます。今後はヘルスケアの個人情報も大きなテーマになっていくのでしょう。 電子カルテが広く流通すれば他の医者にかかったり、薬局にいったとき、海外旅行のときの急病などの場面でも安心になる反面、 漏洩のリスクも大きいものになると想像できませんか？

PC Worldの（http://www.pcworld.idg.com.au/index.php/id;1338548402;fp;2;fpid;1 　）記事によりますと、新手のフィッシングが米国ヤフーユーザーに襲い掛かっており、記事の投稿時点ではヤフーはまだその認識も対抗策も発表していない、とあります。この新手のフィッシングは、友人を装った送り主からメールあるいはインスタントメッセージが届き、休暇やパーティの写真をみせたいのでログインしてくれと頼み、それに応じたユーザーを、フィッシングサイトで情報をかすめとった後ただちに本当のヤフーのサイトに誘導してフィッシングの事実を隠蔽するという手口だそうです。また、大胆にもそのフィッシングサイトは米国のヤフーのGeocities内にあったということです。おそらくこういう報道があればヤフーも気づきすばやい対処が行われると思いますが、とにかく敵はさるものということですね。

Investment Newsという米国のニュースレターオンライン版の記事が（http://www.investmentnews.com/article.cms?articleId=53466　 このＵＲＬには直接リンクできません。見たい方は無料の登録が必要ですので、ログインしないとみられませんのでご注意ください。）、シカゴの富裕層向けコンサルティング会社の５００人の米国富裕層（保有資産五十万ドル以上）のアンケート結果を発表しています。それによりますと、「個人情報の漏洩や盗用（５２％）」でトップ、以下「年金（社会保険）制度の疲弊（４２％）」、「新たな大きいテロ事件（３８％）」と続いたということです。個人情報の漏洩問題がいかに米国で深刻化しているかの統計がまた表れたということでしょう。　

今回のハリケーン「リタ」は大きな被害が出なくてよかったですが、一説によればすでに甚大な被害を予想して、４０００を超える被害者救援のためのサイト（６０％がしかも米国外ホストということでフィッシングサイトの疑い大）がたちあがっていたという米国。文字通りフィッシングのオンライン詐欺が吹き荒れるアメリカでは、ベンチャー企業がいろいろな対抗アプローチを試みています。私がかかわっている「個人情報けいび君」（www.keibikun.jp ）の製造開発元のアノニマイザー社（www.anonymizer.com ）はすでにベテランともいえる存在ですし「フィッシング詐欺防止ソフト」そのものではありませんが、フィッシング詐欺が大きな社会問題化する中、続々と新しい企業・ソリューションが名乗りをあげていますので、簡単に紹介しておきます。まだ一般にあまり知られていない新しい技術ですし、ソフトも初期段階では問題がある可能性もあり、啓蒙普及活動中という側面もあるので、また後日取り上げる機会もあると思います。１つは、”Identity Cues”という商品を発売しているGreen Armor社（www.greenarmor.com ）、で、Identity Cueのソフトは、ユーザーＩＤやパスワードを入力するときに文字が赤くなるなどの明確なシグナルをユーザーに与えて注意を喚起し、個人情報を入力しているときに注意深くなるようにさせる作用をするというおもしろいソフトです。もう１つは電子メールの送信先（大手金融機関など）の信用を確保し、そういうといころからのメールには、その会社の正式なロゴとその身元情報が表示されるような電子メールソフトを開発しているというIconixという会社です（www.iconix.com ）。９月２０日に同社のリリースで、米国のヤフーメールユーザーが使用できるようになったとあり、同メールでアカウントを持っている私もさっそくためしてみました。スクリーンショットをアップロードしようとしましたが、画像データが重いそうなのでまたの機会にご紹介することにします。

英国の媒体サイト（http://www.theregister.co.uk/2005/09/24/data_id_theft_secret/ ）によりますと、今年の６月に、主にVisaとMasterCardの取引の処理を受注していたCardSystemsという会社のシステムが破られ、大量の顧客および取引情報が漏洩した事件（４千万人以上の約２０万の取引情報）の判決がカリフォルニアであり、カード会社のカードユーザーへのこのような重大な個人情報漏洩事件の告知義務はないという判決がだされました。日本でも被害者が相当いたことと、カード発行会社がカードの米国本社からの情報がなかなかとれず発表が遅れたり数字が大きくぶれたりして、記憶に残っている方も多いと思います。 この被害者（消費者および加盟店）の集団訴訟がカリフォルニアでおこされていましたが、なんと法廷（サンフランシスコのSuperior Court）で判事が、緊急性はみられず、消費者にとって回復が困難な程度の損害を受けるとはみなされないという判断を示して、カード発行会社はそのような事件でカードユーザーへの告知義務が認められなかったとう判決になりました。 カード会社は、カード発行の金融機関がお客なので、カードユーザー各自直接に告知義務はないと主張していたということですが、消費者の感覚からすると重大な責任逃れという気がします。 これから本格的な訴訟合戦が始まるのでしょう。 英国のメディアは、本ブログでも以前とりあげた日米のフィッシング詐欺訴訟判決をとりあげ、米国の判決は妥当、日本は軽すぎるなどコメントしており、高い関心を示しています。この記事は、Gartnerという米国のＩＴ調査会社の２００５年調査の数字をとりあげ（http://www.theregister.co.uk/2005/06/23/ecommerce_decline/ ）、すでに米国ではこういった事件や詐欺行為によりオンライン取引を控える人が増えており（昨年より控えている人が全体の４２％、オンラインでの銀行口座支払いサービスをやめた人が１４％）、ビジネスに革命をおこしてきたインターネットというインフラがしぼんでしまう可能性を示唆しています。

私がかかわっている「個人情報けいび君」というソフトのウェブページで、フィッシングをこえる「ファーミング」という詐欺行為の紹介のページがあるのですが（http://www.keibikun.jp/netsagi/pharming.html　 ）、　その終わりのほうに次のようなくだりがあります。 「しかしながら、ロックがセキュリティを「保証しない」ということも心に留めておいてください。ハッカーがいつこのアイコンをそっくり模倣し、偽サイトを安全なサイトと見せかける技術を完成しないとも限らないからです。」 皆さんは、主に金融機関のウェブサイトで個人情報をうちこむようなサイトで、右に「鍵」があること、またＵＲＬもhttp ではなく、https （最後のsはセキュア（保護された、安全なという意味））であるということをご存知の方も多いと思います。しかし、やはり犯罪者はあくまで現状を打破して新しい抜け道を探すのに異常な情熱を燃やすのは世の常で、米国のセキュリティ会社が、ついにこの鍵をもちhttpsの偽装サイトに誘導するフィッシングのケースを発見したと報じられています。（http://www.informationweek.com/story/showArticle.jhtml?articleID=171200010&cid=RSSfeed_IWK_security　 ）。 この「鍵」は、ベリサインという企業が代表的な認証・発行企業で（http://www.verisign.co.jp/ 　）、本来このような権威ある第三者機関が認めた「鍵」でなければならないのですが、このサイトは「自ら発行した鍵」でごまかしていたというのです。鍵をダブルクリックすると、鍵の発行体や有効期限などの詳細情報がでてきますし、自ら認証したような認証に問題がある場合はブラウザーが警告のメッセージを発行する場合もありますが、そうでない場合もあり、またそのような警告は忙しい日常のわれわれには「ああまたか、まあおしても大丈夫」という気持ちで「Yes」のボタンをおしてしまう危険性があるということです。私自身鍵を常に確認しているとはいえませんし、なんとも人間の心理をうまくついた新しいやり方だと思ってしまいますね。感心している場合ではないのですが。

アメリカは言論の自由をとても大切にします。その権利とその脅威というのは結構まじめに語られたりしますし、ジャーナリズムや政治の学問でも重要なトピックです（私もなにやらなじみのないアメリカの判決をジャーナリズムスクールで勉強させられ四苦八苦したのを懐かしく思い出します）。９１１事件により、テロリストの脅威、アメリカの大切にする自由への脅威に対抗するために政府は改編され、ＦＢＩなどの機関にも大幅な権限が与えられました。 ２１日付のある記事によると（http://news.zdnet.com/2100-1009_22-5875953.html　 ）、ＩＰアドレスを１つの情報として、複合的にインターネット接続状況から個人の居場所を割り出してしまう技術が国家保安局(National Security Agency)が編み出し、特許を取得したということが報告されています。 この特許が技術的に画期的かどうかは専門家が疑問を呈していますし、現在ではダイアルアップユーザーや「アノニマイザー（日本語商品名　個人情報けいび君　www.keibikun.jp ）」のようなプロキシーサーバー使用の匿名ソフトには通用しませんが、国家権力がこういうものに力をいれて特許をとったということに意味があると思いませんか？　こういった分野を”Geo-targeting”と称し、ＩＰアドレスやインターネットの接続スピードなどのデータを複合的に使って、セグメント化された広告を配信したり、クレジットカード会社がオンライン購買に異常なパターンを早期発見し、詐欺を未然に防ぐなどの使用例が開発されつつあるそうです。 こういった記事を読むと私が思い出すイメージは、スピルバーグ監督・トムクルーズ主演の「マイノリティ・レポート」という映画で、目の玉を個人認証に使い、瞬時に適当な広告をみせるようなしくみです。