「オレだけど、事故を起こしちゃったんだ。悪いけど急いでお金送ってよ」と、あたかも家族からのような連絡を入れ、お金をだまし取る“オレオレ詐欺”が全国で多発している。ネットの世界でも、似たような犯罪が横行し始めた。私のところにも連日そんなメールが山のように届き、捨てるのに四苦八苦しているところだ。しかし、“せっかくの経験”を私だけでしまい込んでおいてはもったいない。読者の皆さんのネット詐欺対処法の一助になるよう、その一部を報告しておこう。

　ネットのオレオレ詐欺とはたとえば、こんなメールでスタートする。「○○銀行カスタマーサービスです　最近、ネットワークの盗聴など巧妙な手口によりパスワードを盗み出す犯罪が増えております。以下のWebサイトに行ってパスワード変更することをおすすめします。第三者に盗み出されていない場合でも、安全には念を入れていただくため、数ヶ月に一度は定期的にパスワード変更をお勧めします。くれぐれもご注意申し上げますが、他人に推測されやすい言葉、短い単語や数字の羅列、生年月日をパスワードにするなど、なさいませんようお願い申し上げます」と、まあ、実に真っ当なアドバイスと親切ごかしの文言が続く。いかにもユーザのためを思ってのことですよと思わせる文面だ。

差出人は銀行ドメインから

　銀行に限らず、パスワードが他人に知られては困るたぐいのサービス提供者は、数ヶ月に1度、パスワードの変更をしてほしいという連絡を定期的に送ってくる。実際このようなメールが銀行から送られてくることがある。中には、本当に銀行からの注意喚起メールであることもあるが、今回のは「詐欺メール」だった。

　私のところに届いたメールの差出人は、support@citibank.com 。citibank.comは実在の銀行ドメインのアドレスだ。

　シティバンクの名誉のために付け加えておくが、この差出人のメールアドレスは詐称されたもの。メーラー画面上ではシティバンク内部から発信されたように見えるが、メールのヘッダ情報をすべて表示させ、転送されてきたホストをさかのぼって調べ、差出されたIPアドレスなどを参照すれば、citibankから送られたものでないことが分かる。

　署名には、「Head of Citi Identity Theft Solutions」などと書き、しかも、ご丁寧に著作権表示まで「Copyright 2004 Citicorp. All rights reserved.」。私のところに来たメールにはさらにシティバンクのロゴまで貼り付けてあり、いかにもそれらしい。

メール文中に用意された「口座確認用ページ」には決して行かないように

　口座の再確認、パスワード変更をするには以下のURLへどうぞとあり、銀行が直接サイトを運営していると思わせる、銀行ドメインがURLとなっている。たとえば、こうだ。

https://www.citibank.com/signin/citifi・・・・・・・・・

　ちゃんと、SSLで安全な接続が保証されているように見える。しかし、ちょっと待って！！　これをクリックしてはいけない。ここにどんな仕掛けが組込まれているか、分かったものではないからだ。

　メールの文面に表示されているアクセス先は表面上だけで、実際のアクセス先は、

http://www.easysolutionxxxx.net/script/email_verify.htm

　といった全然違うアクセス先が埋め込まれている。

　メーラーのヘッダを表示させる機能をオンにして、メールの中身に何が書かれているか確認すると、こうした、だましのコードが埋め込まれていることが分かる。

　読者の皆さんには行っていただきたくないが、記者魂が疼いてしまった。メールアドレスなど一切登録されておらず、クッキーもため込んでいないまっさらなPCを新たに設定して、上記アドレスに行ってみた。サイトは、まさにシティバンクが作ったかのようにデザインされ、最近のキャンペーン広告なども埋め込まれ、プライバシーポリシーを表示するリンクなどもちゃんと作ってある。その中に、口座番号、旧パスワード、新パスワード、ATMカードの暗唱番号（PINコード）などを書き込むフィールドが用意されている。ここに情報を打ち込んだが最後、犯人は大手を振ってあなたの口座から資金を抜き取るという手口である。

　本当にパスワードの変更が必要なときは、こうした案内メールに書かれたURLからは絶対に辿らずに、自分の手打ちでアクセスし、アクセス先が自分の目指したところであるかどうか、パスワード入力画面はちゃんとSSLでガードされたページ（https://）となっているかを確認しながら注意深く進めていただきたい。

　差出人詐称ができてしまう現在のインターネットメールの仕組みを、逆手にとった悪らつな詐欺だが、米国ではあまりにうまい文面で誘い込まれるため、被害は急増中だ。昨年、米国での被害は12億ドルにも上ったという調査データもある。

　日本にもインターネットオレオレ詐欺が上陸中だ。ネットワークの利便性を打ち砕くこうした行為は、現在のところ、システム的にブロックする手だてはない。スパムメールを合理的に正確に排除する技術が確立するまではユーザが自衛知識を持って対抗するしかないのが実情だ。しかし、メールの利便性と自由度を失わないまま、詐欺行為が出来ない仕組を作ろうとする国際的な動きも始まっている。信頼できる「柔らかいデジタル」の世界が早く確立できるよう見守っていきたい。

（日経BP社編集委員室　主任編集委員＝林 伸夫）

日経ＢＰ社情報（2004-06-02）