モバイルデバイスを狙う脅威も増加

スマートフォンなどのモバイルデバイスを狙うフィッシングが増加していることも、最近の傾向である。スマートフォンの高性能化や無線LAN(Wi-Fi)サービスの普及、クラウドサービスの拡大によって、モバイルデバイスでも多くの業務が可能となった。これにより、2016年にPCとスマートフォンのユーザー数が逆転している。この傾向は、テレワークへの移行でさらに加速している。

サイバー犯罪者は、よりユーザーの多い環境を標的にする。世界的にユーザー数の多いWindowsが狙われるのは、このためだ。同様に、ユーザー数が増えて主流になりつつあるスマートフォンも標的になってきたわけだ。そしてサイバー犯罪者は、スマートフォンへの攻撃のしやすさに気づいてしまった。

PCとスマートフォンの決定的な違いは、表示エリアの大きさである。PCに比べてモニターのサイズが小さなスマートフォンでは、画面の表示をシンプルにせざるを得ない。このため、PCでは確認しやすかったメールの送信者アドレスなどを確認しづらくなった。リンク先のURLの確認も同様だ。たとえ表示できたとしても文字が小さくなるため判別が難しい。

  • フィッシングサイトのスマートフォンでの表示例

さらにスマートフォンには、SMSという独自のメッセージサービスがある。SMSは電話番号さえわかれば送信できるため、SMS経由のフィッシングが急増している。有名なフィッシングには、不在配達の通知を悪用するものがある。SMSに再配達のためのリンクが表示され、これをタップするとフィッシングサイトにアクセスされる。再配達ボタンをタップすると不正なアプリがダウンロードされ、さまざまな被害を受けてしまう。

企業・個人が気をつけるべきこと

フィッシングは、基本的にメールやSMSのリンクをクリックしない限り、フィッシングサイトにアクセスすることはない。そこで、メールやSMSで通知があった際にはリンクをクリックせず、ブラウザからサービスにログインし、メールと同じ通知がないか確認する習慣をつけることが重要だ。例えばAmazonでは、アカウントサービスからAmazonが送ったメールを確認できる。ここに同じものがなければフィッシングと判断できる。

また、フィッシングは巧妙になっているため、従来のセキュリティ対策をすり抜ける可能性が大きい。それでも一定の効果は期待できるため、セキュリティ対策は必要だ。最新のURLフィルタリングでは、刻々と変わるIPアドレスを追跡したり、リダイレクト先まであらかじめチェックしたり、振る舞いによってアクセスを遮断したりする機能もあるので、最大限活用したい。そして何よりも、常に冷静に判断することが重要といえるだろう。

次回は、2022年の予測について説明する。

著者プロフィール


伊藤 利昭 Vade Secure株式会社 カントリーマネージャー

2020年1月に就任し、日本国内におけるVade Secureのビジネスを推進する責任者です。これまで実績を重ねてきたサービスプロバイダー向けのメールフィルタリング事業の継続的な成長と、新たに企業向けのメールセキュリティを展開するにあたり、日本国内のパートナーネットワークの構築に注力しています。Vade Secureは、AI(人工知能)を用いた脅威検出とその対応技術の開発に特化したグローバルなサイバーセキュリティ企業です。