~ フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です ~

報告

HOME > ニュース > インタビュー > 第3回:クラウド、電子政府など次のフィッシング対策を見据える時代へ――経済産業省

インタビュー

第3回:クラウド、電子政府など次のフィッシング対策を見据える時代へ――経済産業省

2009年10月07日

「フィッシング対策の現場から」のインタビュー第3回目は、経済産業省にご登場をお願いした。インタビューに対応いただいたのは、同省の商務情報政策局 情報セキュリティ政策室 課長補佐 清水友晴氏だ。経済産業省としてのフィッシング問題への取り組みの現状や今後の課題などについて、技術・市場動向や社会的な動き、政策的な動きといった多方面からの分析に基づいた興味深い話が聞けた。

 

 

金融犯罪手法のシフトに注視

 

――さっそくですが、経産省として、フィッシング被害や対策の現状についてどうとらえていらっしゃるか教えてください。

 

清水氏:2004年に米国でフィッシング被害の問題が顕在化したことを受け、日本でも2005年からフィッシング対策協議会を設置して活動を行ってきているわけですが、国内の被害の現状としては他の国ほど大きく増えてはいないと認識しています。その理由として、いくつか考えられると思います。ひとつは、企業の対応や協議会の発足など、早期の活動が効を奏している部分もありますが、日本では犯罪手法として定着していないということもあるかと思います。実社会では、ワンクリック詐欺や振り込め詐欺のほうが、金融犯罪の主流となっているからです。

 

しかし、振り込め詐欺も規制や対策が進み、いちおうの減少傾向にあります。このことは、将来、犯罪組織がフィッシングを含む他の手法にシフトしていく危険性を考慮しなければならないことを意味しています。現状で被害が大きく広がっていないからといって、フィッシング対策の重要性が低くなったとはとらえていません。継続的な活動が重要だと思っています。

 

もうひとつ、これからの取り組みとして考えなければならないと思っているのは、電子政府(※)にかかわる動きです。電子政府については、IT戦略本部が「i-Japan戦略2015」構想の中で、2015年にむけてのいくつかのアクションプランを発表しています。その中では、国民電子私書箱や社会保障カードといった新しいサービス、制度の導入を目指すこととされています。国民電子私書箱という、新しい公的なサービス導入には個人認証システムの導入も伴いますので、当然、フィッシング対策も考えなければならないと思っています。実際、電子私書箱の制度設計、システム設計においては、システム的なセキュリティやユーザ教育を含めた対策が検討されています。

 

――最近のフィッシングの手法に関する変化や動向などはどのように分析していらっしゃいますか。

 

清水氏:フィッシング詐欺の定義の問題でもありますが、フィッシングといった場合、まず誘導メールによって悪意のある偽造サイトにアクセスさせ、ID、パスワード(IDセット)や口座情報などを搾取する行為を指します。その件数という意味では、現在、発生しているフィッシングの事例はオークションサイトに関するものが多いと認識しています。これも、各事業者の対策が進められているので、現在の、比較的被害の少ない状況を維持しているのだと思います。

 

一方、メールをトリガとしない方法でフィッシングサイトに誘導してIDセットを搾取する、という手法は注視する必要があります。たとえば、韓国では国民ID制度を導入していますが、このIDは民間企業に開放され、銀行口座を作るときに利用できるようになっています。そのため、大量のID搾取が問題になっている現実があります。特に韓国外の国の犯罪者や組織によってもたらされる被害が増えているという報告もあります。

 

このような動きを押さえておくことも、さきほどの電子政府の施策や設計において日本としての対策を考える上で参考になると思っています。

 

情報インシデントにも事故調査委員の設置を

 

――IDセットを守るというお話がでましたが、この部分で経済産業省の取り組みがあれば教えてください。

 

清水氏:さきほどの電子政府にもからみますが、内閣官房情報セキュリティセンターと共同で、政府、官公庁向けの電子認証、ID管理に関するガイドラインを検討しています。これと並行して、民間ビジネス向けのガイドライン作成も進めています。これは、特定の認証技術や方法を規定するというより、それぞれの認証手法やレベルごとに想定されるリスクを4から5段階程度に分類し、発生しうる事象や損害についてまとめるものになるかと思います。扱う情報の種類やレベルによって、どの認証方法の利用が適切かを考える上での目安になるものです。

 

先般、ISOがバイオメトリックス認証について技術標準のガイドライン(テンプレート保護)を発表しましたが、これは認証技術の目安であって、それが破られたときのリスクや問題までは規定していません。現在策定中のガイドラインは、むしろ認証レベルとリスクマネジメントに重きをおいているものといえます。

 

また、バイオメトリックス認証は、利便性が高く、シチュエーションによってはセキュリティレベルも高いものですが、一般市民全員をユーザとする電子政府において利用する上では課題が多いと思っています。これは技術的な課題ではなく、プライバシーや国民の合意形成といった文化的な課題といえるでしょう。たとえば、電子政府の中の社会保障カードを活用する上で、国民の健康データについて匿名性を維持しながら管理できれば、膨大な臨床データが取得できたり、薬害や副作用の問題への対処、難病治療への展望が開けたりするなど、社会的な財産となり得る可能性がありますが、やはりプライバシーや人権に配慮して、健康データを管理する目的での利用は行わない方向で検討されているようです。

 

――最後に、経済産業省として、フィッシング対策協議会の活動の展望と、協議会への要望などあればお聞かせください。

 

清水氏:ひとつは、フィッシング対策協議会の会員同士の交流をより活発にさせたいと思っています。協議会は、もともと、フィッシング対策という課題に対して、共通の認識を持つ事業者や企業が集まり、事件・事故情報の共有を進めて被害の抑制に役立てようということで発足していますが、現実には、企業内の情報を外部の事業者と共有するという点での限界があります。解決は難しい問題ですが、被害を受ける企業やそのユーザ保護という点からも、情報共有は必要だと思いますし、海外組織や機関との連携も不可欠だと思います。

 

もちろん、そのためにすべての情報の提供を強制するのは現実的ではありませんが、食品事故や公共交通機関の事故では、公的な事故調査委員会が組織され、原因究明や再発防止策など、事例を今後に生かすしくみがあります。情報セキュリティについても、必要性を慎重に議論することを前提として、同様なスキームを構築する検討を行ってもよいのではと思っています。対象とする事件・事故の種類による、一般市民に与える被害レベルの深刻度にもよりますが、世界的なサイバー犯罪の深刻化という現状を鑑みて、そのような検討活動が実現できればと思います。

 

 

※電子政府:政府IT戦略本部がすすめる、今後のあるべきIT社会の構想「i-Japan戦略2015」には、行政サービスを電子化、効率化を目的とする、国民電子私書箱や社会保障カードなどに関する政策目標が盛り込まれている。電子政府のインフラになる国民のID管理について、納税者番号や住基ネットに関する懸念や問題に対応するため、それらに代わるシステムとして考えられているものである。電子私書箱は、政府ではなく公正な第三者機関が管理・運用する形で、2013年に稼働する予定となっている。