■山田祥平のRe:config.sys■ CD-ROMとCD-Rを見分けるリテラシー

　千葉銀行に続き、北陸銀行に城北信用金庫と、金融機関からの郵便物を装ったCD-ROMがポストに投函される事件が相次いでいる。千葉銀行の場合は、数百万円が振り込まれてしまうという被害に発展している。

●CD-ROMとCD-Rは違う

　新聞やTVでは、この一連の事件の手口として、CD-ROMが使われたと報道を繰り返している。金融機関の封筒やお知らせの文面くらいであれば偽造はそれほど難しくなさそうだが、それに加えてCD-ROMまで作成しているとなると、かなり手のこんだ犯罪なのだろうなと認識していた。

　そこで、千葉銀行の「ちばぎんホットライン」に電話して話を聞いてみたところ、どうやら投函されたメディアはCD-ROMではなくCD-Rであるようなのだ。捜査に支障が出ないように、すべての情報を公開はしていないのだろうが、CD-ROMではない可能性が高いということを教えてもらえた。

　そりゃそうだ。金融機関の封筒に入ってCD-ROMが届けば、ぼくだってひっかかるかもしれない。でも、CD-Rだったら、まず疑う。警察庁は11月2日に注意を喚起する文書を公開したが、そこには『CD-ROM等』と明記され、脚注として「書込可能なCD-Rの事例が見られているが、DVD、フロッピーディスク、USBメモリなど、他の記録媒体にも注意する必要がある。」と、しっかり記載されている。この文面を読む限り、現時点で見つかっているのはCD-Rだということがわかる。なのに、報道はすべてがCD-ROMとなっている。似ているからといって十把一絡げというのはどうにも疑問が残る。

　この連載を読んでいる方の多くは、CD-ROMとCD-Rの違いは十分に理解していると思う。似て非なるものであるのは自明だ。見かけも全然違う。どんなに巧妙にレーベル面が作られていたとしても、記録面の色を見ればわかる。CD-ROMはピットと呼ばれる突起の有無でデータを記録し、その作成はスタンパーを使ったプレスによる工程が必要だ。

　これに対してCD-Rは、有機色素を焼いてピットを作る。CD-Rを焼くという言い方は当を得ているのだ。そして、プレスの必要はなく、民生品のドライブがあれば1枚単位で誰にでも簡単に作成できる。

　つまり、犯罪に、CD-ROMが使われたのか、CD-Rが使われたかで、その犯罪に対する犯人の気合いの入り方、犯罪の規模が想像できるのだ。CD-Rなら少数の対象をターゲットにカスタマイズしたプログラムで騙そうとしているだろうし、CD-ROMであるとすれば、少なくとも百枚単位でプレスされた可能性があり、内部のプログラムは汎用性がかなり高いものである可能性もある。報道からはこうした状況がまったく読み取れない。

●防げる詐欺を見切る

　詐欺犯罪には未然に防げるものと防げないものの二種類があると思う。ちょっとした観察を怠らなければ騙されないはず、被害者には恐縮だが、そりゃ、騙される方が悪いよと思ってしまうような事件と、実に巧妙な手口でよりいっそうの注意を自分に対して喚起する事件である。

　前者に相当するような幼稚な手口にひっかかってしまうフィッシング被害が後を絶たないのは悲しいが、今回の一連の事件はどうだろう。少なくとも、法人向けインターネットサービスの利用顧客の担当者が、銀行名義の封筒を受け取り、取引に使っているパソコンのドライブに中に入っていたCD-Rをセットし、そのプログラムを実行して被害に遭っている。CD-Rであるという時点で疑うことはしなかったのだろうか。被害者には心からお見舞い申し上げるが、これはやっぱり、ほんの少し疑心暗鬼になるだけで未然に防げた被害でもある。こうしたサービスの担当者なのだから、そのくらいの猜疑心を持っていることも求められるのではあるまいか。

　もっとも、案内の文書に「固有のセキュリティ情報を記録するため、顧客ごとに個別にCD-Rを作成して配布しています」といった文言でもあったとしたら、被害はもうちょっと増えていたかもしれない。

　これからの世の中は、本物とそうでないものを見抜く確かな眼、いわばリテラシーがますます求められるようになるだろう。でも、毎朝ポストに投函される朝刊が本物であることは誰が証明できるだろうか。朝起きて、TVをつけたときに映し出される番組が、本当に放送局によるオフィシャルなものかどうかを証明できるだろうか。TV番組は大量生産されたチューナが受信するものなので、放送番組を偽装して受信させるのは難しそうだが、特定の個人宅のポストに投函された新聞のページを入れ替えるくらいならできてしまいそうだ。

●インターネットの方がずっと安全

　インターネットを使って運ばれてくるデータは、印刷物や放送とは違い、見かけの上では対等だ。大企業のウェブサイトが零細企業のウェブサイトに見劣りすることは日常茶飯事だ。社屋の建物の大きさや外観で企業規模やその信頼性を判断することもできない。頼りになるのはURLだけである。でも、そのURLさえ詐称されることもあるし、それ以前の問題として、なじみ深い企業の正確なドメイン名を、ユーザーがきちんと把握しているとは考えにくい。

　そういう意味では日本語JPドメイン名はきわめて重要な役割を果たしそうだ。

　日本語JPドメイン名は、従来の属性型、地域型ドメイン名と同様に、先願主義を採用し、いってみれば早い者勝ちで取得ができるようになっている。そこで、混乱を避けるために、公的名称や地方公共団体名、初頭中等教育機関名、日本語の一般名詞などの予約ドメイン名が設定されている。だが、この措置は、いわゆるサンライズ・ピリオドと呼ばれるフェーズでのものであり、永続的にこのシステムを続けるかどうかはまだ決まっていない。ただ、地域型や属性型ドメインとは違い、組織に1つという制限はないので、手持ちの商標をすべて登録しておいたり、登録はしなくても、第三者が自社商標を使ったドメイン名を取得することを防ぐこともできる。商号は市町村単位でしか類似が妨げられないが、商標は全国単位だ。

　企業はその社会的な責任において、自社のドメイン名をきちんとアピールし、それが正しく自社のものであることを周知するべきだろう。それが消費者の信頼を得るための第一歩でもある。郵送で届くCD-ROMやCD-Rよりも、確かなURLからダウンロードしたプログラムの方がずっと安全であることを世の中に知らしめて欲しいものだ。

□関連記事
【11月2日】千葉銀を騙ってCD-ROM郵送、顧客1社に不正出金被害～スパイウェアか？
http://internet.watch.impress.co.jp/cda/news/2005/11/02/9718.html(INTERNET)

(2005年11月11日)

[Reported by 山田祥平]