迷惑なだけではない！　様々な迷惑メールの被害

筆者は電子メールアドレスをいくつか所有している。そのうちの１つをブログで公開しているのだが、そのアドレスには毎日十数件から数十件の迷惑メールが送られてくる。内容は様々だが、やはり圧倒的に多いのは風俗関係のものだ。最近の傾向としては、以前のように露骨な宣伝の形を取らないものが、多くなってきた。いかにも素人が送っているかのような差出人アドレスと内容で、アダルトサイトに誘導する形を取っている。

日々迷惑メールの手口は巧妙化しており、中にはウェブサイトにアクセスした瞬間に「会員登録ありがとうございました」と表示されてしまうという、非常に悪質なものもある。その下に「解約希望の方は、こちらに住所と電話番号、メールアドレスをご連絡ください」と書かれており、個人情報を送ってしまうと、後日請求書が送られてくるという仕組みだ。

このような詐欺的迷惑メールは、なにもアダルトサイトに限った話ではない。海外の宝くじ勧誘サイトや海外カジノサイトでも同様の手口は用いられている。また、架空請求というと郵便や電話で、というイメージがあるが、最近公的機関を装った電子メールによる架空請求が急増している。電気通信事業者や税務署を装ったものなどの事例報告がされているので、注意が必要だ。

ウイルスを運ぶ迷惑メール

ウイルスが添付されたメールの総数は、一時期に比べたら減ってきているように感じる。だが、完全になくなったわけではない。相変わらず、週に何件かはウイルスメールを受け取っているのが実情だ。最近のウイルスメールは、タイトルも日本語、差出人も知人のアドレスからとなっており、本物のメールと見分けるのが非常に見分けるのが難しくなってきている。事実、トレンドマイクロ社のウイルストラッキングセンターのデータをみても、ウイルスの感染数は減少傾向にはない。

欧州では既に携帯電話をターゲットにしたウイルスが登場している。感染すると、メールが使えなくなる、あるいは電話が使えなくなるというものだ。日本で流行するのも時間の問題だろう。携帯電話大国日本における新たな通信混乱の火種として大いに懸念される。「ウイルスはコンピュータに感染するもの」という考え方は、もう古いのだ。

スパイウェア等による個人情報の収集

迷惑メールの中には、個人や企業のコンピュータに「スパイウェア」を仕込もうとするものも存在している。スパイウェアとは、コンピュータに常駐し、そのコンピュータの活動記録を記録して、特定のアドレスに転送してしまう悪質なソフトウェアだ。

スパイウェアの感染経路は様々だ。ウィルスメールを経由して感染してしまう場合もあるし、フリーウェアなどにこっそり仕込まれている場合もある。また、信頼できると思っていた第三者に仕込まれてしまうこともある。スパイウェアはウィルスではない、という立場を、多くのウィルス対策ソフトウェアメーカーが取ってきた経緯から、一般的にはウィルス対策ソフトでは完全な除去は難しいとされる。除去には専用ソフトウェアが必要だ。ただし、ウィルス対策ソフトウェアメーカーも事の重大さに気づき始めたので、最新のバージョンでは対策可能な場合が多い。

個人のコンピュータであれば、使用者の個人情報の漏えいのほかに、クッキー情報を盗み出すことも可能であるため、その個人の嗜好などを知ることもできる。また、キーボードでどのキーを押したかどうかを記録するスパイウェアも存在するので、クレジットカード情報なども簡単に漏えいしてしまう。企業の場合、上述した利用者の個人的情報の流出のみならず、場合によっては、顧客情報や企業秘密の漏えいといった重大事件につながりかねない。今後対策が急がれる分野として注目されていくのは間違いない。

また、HTMLメールを使った個人情報の収集も一般的に行われている。HTMLメールに白色の画像を装ったCGIプログラムを埋め込むことで、各種情報の収集が可能となる。少なくとも、そのCGIプログラムの引数に、メールアドレスを埋め込んでおくことで、アドレスの存在確認を簡単にできる。実はこの手法、ウェブマーケティングの世界では「常識的なこと」として行われているものだ。

フィッシング詐欺、遂に日本に上陸

2004年、米国で2500億円も上る被害が生じたフィッシング（Phishing）詐欺。米国ではビザやシティバンクの事例が有名だ。これらの会社が開設するウェブサイトにそっくりなサイトを構築し、そこへアクセスするようもっともらしく記した電子メールを送信することで、顧客を偽装サイトに誘導。顧客が自ら入力する個人情報（特にクレジットカード情報）を盗み取るのが、フィッシングの基本的な手法だ。

昨年11月日本語では初のフィッシングサイトの存在と被害が報告された。ビザ、ヤフーなど大手のサイトが標的とされている。何件か既に日本でも被害が発生しているようだが、その実態の詳細は、明らかになっていない。公になったのは2005年2月と、初の報告から3ヶ月以上遅かったのだが、現在のところ、被害の詳細が多少なりとも明らかになっているのはUFJカードにおける事例のみである。公表された情報によると、フィッシングが行われたのは昨年夏。日本語フィッシングサイトの存在が報告されるより前の話である。9月から10月にかけて、ルーマニア国内で偽造カード使用が発覚し、8人のカードで総額150万円の現金が引き出されていたという。

フィッシング手法は日々進化を遂げており、最近では「ファーミング(Farming)」という新たな手法が話題となっている。これは、ウィルス等で個人や企業のコンピュータのhostsファイルを書き換える、あるいはDNSサーバに虚偽のキャッシュデータを送り込むなどの方法を取り、たとえ正規のURLをブラウザに入れても、偽装されたサイトにアクセスさせてしまうというものだ。ファーミングでは、フィッシングのように毎回迷惑メールを送信する必要がない。フィッシングで必要であった「餌」を撒く必要がないのだ。ファーミング（農業）という言葉が示すように、より大規模に稼ぎを刈り取ろうという方向に、詐欺の手段は進化している。実際のところ、フィッシングやファーミング詐欺については、政府が本気で取り組む姿勢を見せているところからも、表沙汰になっていない事例が多く存在すると考えて良さそうだ。

迷惑メール防止の法的な枠組み

迷惑メール拡散防止のため、最も大きな役割を担っているのが、平成14年4月に制定された「特定電子メールの送信の適正化に関する法律」である。この法律は、不特定多数のメールアドレスに同報する電子メール、つまり迷惑メール送信の際のルールを定めたものだ。概要は以下の通りである。

• 迷惑メールには、電子メールの件名に「未承諾広告※」という文言を入れなければならない
• 迷惑メールには送信者の氏名や名称と住所を記載しなければならない
• 迷惑メールには送信元のアドレスを記載しなければならない
• 受信拒否の通知先を記載し、受信拒否の希望者には以降送信してはならない
• プログラムを使い生成した架空の電子メールアドレスへのメール送信の禁止

ただし、迷惑メールの件数は一向に減らず、むしろ増えていることは上述したとおりである。この法律の実効性には疑いが濃く、総務省では、より条文を厳しくした本法律の改正案を第162国会に提出し、国会にて審議を行っている（平成17年4月1日現在）。

これ以外にも、迷惑メール防止や迷惑メール対策として利用可能といわれる法律がいくつか存在している。1つは刑法上の「偽計業務妨害罪」の適用だ。具体的な判例は存在していないが、何千何万というメールを特定のメールサーバに集中的に送りつけることで、メールを使った業務を停止させる、あるいは著しく低下させた場合、本罪が成立するとの見方が強い。

2つ目は「プロバイダ責任法」だ。身元不明の送信者から繰り返し迷惑なメールを受け取った場合、プロバイダに対して送信者情報の開示を求めることができる。開示が認められた場合、迷惑メールによる精神的苦痛に対する慰謝料等の名目で、民事裁判で争うことも可能であり、同時に上記の特定電子メールの送信の適正化に関する法律違反で告発することも可能だ。

3つ目は、先ごろ全面施行された「個人情報保護法」だ。受け取った迷惑メールに、明らかに個人情報と思われる文言が含まれていた場合、条件付きではあるが、送信者に対して迷惑メールの送信を停止するよう要求することができる。この法律も最終的には刑事罰が下されるので、使い方によっては効果が期待できる。

以上、迷惑メールをめぐる法的背景を述べてきたが、次回の本連載では、政府の迷惑メールやフィッシングへの取り組みについて、もう少し具体的に述べていく予定である。