［英国］
破綻銀行を詐称したフィッシング・メールに注意

返金の手続き方法を公表するのは常軌を逸している──英セキュリティベンダー

（2008年11月06日）

　セキュリティ・アナリストらが、先頃経営破綻したアイスランドの銀行に口座を持つ英国の預金者に向けて、フィッシング詐欺に注意すべきとの警鐘を鳴らしている。

　アイスランドの銀行Landsbanki of Reykjavikの英国法人であるIcesaveは、10月8日に債務不履行を宣言し、20万人を超える顧客が30億ユーロ（約3,792億円）の預金にアクセスできない状態となった。英国政府は、これらの預金を顧客に払い戻す方針を示している。

英国IcesaveのWebサイトには、預金者向けに返金方法に関する説明が記載されている

　英国で顧客に対する返金の調整にあたっている金融サービス補償機構（FSCS、Financial Services Compensation Scheme）は11月4日、Icesaveの顧客に2通の電子メールを送る予定であることを発表した。1通は、返金の請求方法に関する情報であり、その際口座の詳細内容や個人情報を提供するよう求めることはないという。

　2通目は「補償金の支払いを受けるためのオンライン手続き」の方法を説明するもので、おそらく3～4週間後に送付されると見られている。Icesaveによると、電子送金は、英国の銀行と住宅金融組合の大半が利用しているオンライン支払い処理システム「Bacs」を通じて行われるという。

　英国では、銀行が顧客と電子メールで連絡を取り合うことが法律で認められている。しかし、アンチ・フィッシング技術ベンダーである英国First Cyber Securityのディレクター、デビッド・ホールマン（David Holman）氏は、請求手続きの方法を電子メールで通知する場合、内容次第ではフィッシング詐欺のチャンスが生まれる危険性があることを指摘する。

　「最も懸念しているのは、手続きの方法がすでに公表されてしまっているという点だ。これは、少し常軌を逸している」（ホールマン氏）

　同氏によれば、Icesaveのフィッシング・サイト(偽のWebサイト)を作成するのは「極めて容易」だという。詐欺行為の実行者は、偽サイトへのリンクを入れたスパムメールを発信し、このサイトを訪れたユーザーをだましてログインするために必要となる口座の詳細な情報を入力させる。その後、預金者の画面には「ログインに失敗した」というエラー・メッセージを表示させておき、詐欺師は取得した口座情報を使って正規の手続きサイトにアクセスし、自分や犯罪組織の銀行口座へ送金を試みる。

　ホールマン氏によると、これまでのところIcesaveの偽装Webサイトは見つかっていないという。

　英国のセキュリティ・ベンダーのSophosでシニア・テクノロジー・コンサルタントを務めるグラハム・クルーリー（Graham Cluley）氏も、自分の預金が保全されるかどうか不安を募らせているIcesaveの顧客が、詐欺行為に引っかかる危険が高いと指摘する。「だれもが金をほかの銀行に移し、自分の預金を守りたいと考えるはずだ」（クルーリー氏）

　同氏は、疑わしい電子メールのリンクはクリックせず、Webブラウザのアドレス・バーに直接Icesaveのドメイン名を正確に入力するよう呼びかけている。

　FSCSは、紙の申請書を用いて小切手で払い戻しを受けるという方法も認めている。この方法の場合、電子送金なら5日で済む手続きが6週間ほどかかってしまうが、より安全性は高い。FSCSの顧客サービス担当アドバイザーは11月5日、Icesaveの顧客に対して、口座情報などを慎重に取り扱うように呼びかけている。

(Jeremy Kirk / IDG News Serviceロンドン支局)