「フィッシング詐欺」とは、正規のWebサイトになりすまし、銀行口座の暗証番号やクレジットカード情報、ECサイトのID / パスワードなどを不正に入手しようとするもの。こうして「盗んだ情報」で、当人になりすましてECサイトで買い物をしたり、オンラインバンキングからお金を引き出したり、不正に入金させたりする。リアルな金銭的実害に直結するネットの犯罪だ。これまでの手口はメールを使って不正なURLに誘導するという手法が多く、警察や銀行、正規Webサイトでは、フィッシング詐欺の入り口になるこうしたメールへの注意喚起をユーザーに再三呼びかけていた。

SPAMメールフィルタを利用して危険性のあるメールを排除したり、あやしげなメールは開かない、文中のURLリンクを不用意にクリックしないなど、ちょっとリテラリーのある人なら「フィッシング詐欺になんてひっかからない」と思っているだろう。

しかし、そうもいっていられない事態が起こった。検索連動広告にフィッシング詐欺のサイトが掲載され、実害が出てしまったのだ。

検索連動広告にフィッシング詐欺
2014年2月、ヤフーの広告サービスを経由して、京都銀行を騙るフィッシングサイトでユーザーが不正送金するという事件が起きた。これは「スポンサードサーチ」と呼ばれる検索連動広告サービスで、ユーザーが入力した検索キーワードに関連する広告が検索結果画面(上部あるいは右横)に表示されるもの。掲載先は「Yahoo! JAPAN」や主要提携サイトの検索結果だ。

この「検索連動広告」は、広告表示のアルゴリズムに検索キーワードとのマッチングが加味されるため、効果的にアプローチできるし、ユーザーにとっても有用とされている。つまり、どのくらい検索されたことばと関連があるのか、関連が深ければ深いほどそのユーザーにとっても有用だというロジックで、ヤフーだけでなく、Googleでも同じようなサービス(リスティング広告)を展開している。

ネットは安全じゃない
今回の一件、ユーザーからの苦情を受けた京都銀行からの問い合わせで判明したという。広告掲載(申し込み)には審査があり、違法な広告表示はできないようになっているはずだ。しかし、その後のヤフーの発表によると「同社の広告審査を故意に回避するような手段」が取られたのだという。何らかの方法で、広告審査をすり抜けた、悪用されたと。

ヤフー側では、「システムと人の目を組み合わせた審査をこれまで以上に強化する」としているが、どんなに防御してもそれをすり抜ける悪質な者は必ず現れるだろう。となると、ネットを日々利用する私たち自身がこうした情報に敏感になり、「完璧に安全」などないことを意識しながら利用するしかないのかもしれない。

大内 孝子