フィッシング詐欺は非常に効率がいい。・・・誤解を恐れずに書くと「効率がいい」のです。

そもそもフィッシング（Fishing）詐欺とは、その名の通り「釣り詐欺」で「釣り糸を垂らして餌に引っかかるバカを待つ」という意味。・・・というのは大嘘でそもそもスペルが違いますが意味的には大体合ってるのが不思議です。

で、正しいスペルの「Phishing」が何故か辞書に載っていないので厳密な意味は知りませんが（造語なのかしら）、僕の理解している範囲で説明すると「第三者になりすましてその第三者の信頼性を利用して情報を引き出す」という詐欺です。例えば有名ショッピングサイトと全く同じダミーサイトを利用してそこにユーザーを誘導しクレジットカード番号を入力させる、とかが王道ですね。

では、何故フィッシング詐欺は効率がいいのか。これはもう簡単な理屈で、初心者から大きな利益を得る詐欺だからです。

「ハッカー論」みたいな文章だと必ず登場する理論なんですが、手に入れるモノが同じであれば簡単な場所から手に入れた方が良い。例えば、あるユーザーの接続パスワードを抜くためにサーバーを狙うよりはマイドキュメント内の「パスワード.txt」を狙った方が良い。

PCユーザーが増えれば増えるほど、仮に「初心者」の割合が同じであれ、その数は増えていく。PCユーザーの一定割合が初心者だとすれば、ユーザー数が10倍になれば初心者数は10倍になる。実際にはユーザー数が増えれば「初心者率」は確実に上がりますから更に増えますけどね。しかし、普通の理屈で言うと、初心者から手に入れられるモノは少ない。「パソコン買ったんだけどメールを多少やりとりするくらいだなぁ」という人間のマシンにトロイ仕込むよりはそれなりのサーバーにトロイ仕込んだ方が色々なモノが手に入る。初心者から手に入るモノなど「踏み台」としての存在しかなかった、というのが正直に言うところの実情な訳です（もちろんそれはそれで重要な問題だけれども）。

つまり、オンラインショッピングやらオンライン証券やらオンラインバンクやらが普及し初心者から「金」を引き出すことが可能になった現在、フィッシング詐欺は最も少ないスキルで大きな利益を手に入れることが出来る、効率がいい詐欺なのではないだろうか。という理屈です。フィッシング詐欺で「PC上級者」を引っかける方が「PC初心者」を引っかけるより大きな利益がある、等ということはない。手に入るモノ（金）が同じであれば簡単な場所（初心者）を狙った方が良い。つまり、90%の「非初心者」が一切引っかからなくたって構わない。残り10%の「初心者」から十分な利益を回収できる。むしろヲタは金持ってないので上10%の「上級者」を引っかけるより下10%の「初心者」を引っかけた方が美味い。

・・・さて、ここまでの文脈を踏まえて「フィッシング詐欺を無くすには」ということを考えてみましょうか。

AllAboutの中妻穣太さんの記事では、気を付けるべきポイントにhttpsの鍵マークの話が出ています。簡単に説明すると、フィッシング詐欺は自前のサーバーを有名サイトに偽装しユーザーを誘導する手法であるため、ユーザーに対し「現在自分がアクセスしているサーバー」を錯覚させる必要があります。で、アドレスバーのない窓を開いて利用する方法等が主流だったのですが先日JSを使ってアドレスバーを偽装する手口が出現したのです。ただ、その手口では鍵マークを偽装することは出来ないのでそこに注目すれば偽装を見破れる、という話ですね。あとメールヘッダの読み方とかについても言及されています。

しかし、こういった方法は確実に「フィッシング詐欺被害を少し減らす方法」でしかない（いや、上記の文章は「読んだ人が引っかからないように」という文章なのでそれで良いんですが、今回のテーマとは違う、という意味です）。そもそもAllAboutでわざわざ「フィッシング詐欺を防ぐにはどうすれば？」と思う人の大半は元々「引っかからない」人だと思われますし、更に言うと「SSLでなければ重要な情報は送信しない」というポリシーを持っている人の大半はそもそも「引っかからない」人だと思うので、フィッシング詐欺をするにあたってアドレスを「https://〜」に偽装する必要があるのかすら僕には分かりません（「http://〜」でもいいと思う）。ここまで読んで貰えば分かると思いますが、大体にして現在のフィッシング詐欺はあり得ないサーバーにユーザーをアクセスさせないと成立しないです。90%の「非初心者」は引っかからない、引っかける必要すらない詐欺なのです。最初から10%の「初心者」をターゲットにした詐欺なのです。

・・・ということで当サイトが提案する「フィッシング詐欺防止策」は下記です。

WindowsOSかノートンインターネットセキュリティは主要ショッピングサイト/証券サイト/オンラインバンクと提携し、各サイトに対してユーザーがユニークなパスワードを設定するよう仕向けろ。各サイトに対するパスワードの頭四文字くらいのみを内部に記録し、別のサイトで同じ頭文字が登場するパスワードは設定できないようにするのだ。んでその四文字を含むパスワードが別のサーバーへ向けて送信されようとしたらアラートアラート。

逆に言うと、WindowsOSかノートンあたりがこういった対策を取るまでは、SSLに関して知識のある人が何を言おうがフィッシング詐欺は確実に「効率のいい詐欺」のままだと思われます。

そういった意味で現在唯一現実的/ある程度の実行力を持つと思われる対策（と数行前に書いた文章を全否定してみる）を書かれている高木浩光＠茨城県つくば市の日記さんの事業者が今すぐできるフィッシング詐欺対策を紹介してみます。

100匹の魚が釣れた時、「海の中には一万匹いるのに」とは思わない。100匹の収穫で満足して帰るだけです。と綺麗にまとめてみました（あんま綺麗でもないです）。