この半年ほどの間にフィッシング詐欺の被害が拡大している。フィッシング詐欺は、大手名企業の企業名やブランド名をかたって、サービスのログインIDやパスワードを盗む犯罪である。フィッシング対策協議会の2019年10月の発表によると、フィッシング詐欺の報告件数は8000件を超え、過去最大となったという。

  • 2019/10フィッシング報告状況 出典:フィッシング対策協議会

また警察庁の発表でも、2019年9月にオンライン銀行口座での不正送金被害が急増しており、フィッシング詐欺が原因だと見られている。発生件数は436件、被害額は約4億2600万円にもなる。

  • フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について 出典:警察庁

フィッシング詐欺を行う犯罪グループは、どんな企業名を騙ってフィッシングメールや、偽のログインサイトを作っているのだろうか。それを知れば、何に注意すべきか傾向と対策がわかってくる。

BBソフトサービスでは、自社製品「詐欺ウォール」での検知実績に加え、警察やその他の国内機関から集められた情報をもとに「盗用されたブランド」を集計している。

最も狙われているブランドは「Apple」

以下、2019年4月~9月に検知、報告されたフィッシングサイトの件数を月単位で集計した。この表で最も狙われているのが「Apple ID」だ。国内のスマ―トフォンの利用者数で圧倒的なシェアを持っているiPhoneは、犯罪者が狙う標的としても非常に魅力的だ。

  • フィッシングに盗用されたブランドの遷移(BBソフトサービス調べ)

Twitterで「Apple IDがロック」というキーワードで検索をかけると、毎日フィッシング詐欺メールが届いたという投稿が上がっている。常時、新たなURLで偽サイトが出現し、大量な偽メッセージがばらまかれている。偽のログイン画面は、本物と比べてもまったく遜色なく、見た目での判断は困難だ。

  • 偽のApple ID入力画面

出典:Appleをかたるフィッシング(2019/08/20)(フィッシング対策協議会)|

正規のWebサイトかどうかを見分けるポイントとして、ブラウザについて「URLを観察すればわかる」「鍵マークがないものは詐欺」「日本語表示が不自然」「Who isでドメインの所有者を調べる」などを挙げている文書を見ることがある。

これらは決して間違いではないが、最近の手口の変化に合わなくなってきている。つまり、上記で挙げている場所を見てもすぐには判断できないようになってきているし、ドメイン所有者情報を調べるなどは一般の方にはとても進められるものではない。

Apple IDを入手できるとどんなことができる?

Apple IDは非常に汎用性の高いアカウントだ。アプリ課金やキャッシュレス決済のために、クレジットカード登録を行っていることも犯罪者に狙われやすいポイントだ。具体的にどんな被害が考えられるか挙げてみよう。

Apple Storeで商品をなりすまして購入

AppleStoreには高価な商品が並んでいる。特に、iPhoneは高価で換金しやすい商品だ。コンパクトであることも犯罪者にとって扱いやすい。勝手に注文した商品を本人にばれないように受け取ることさえできればよい。2019年8月にドコモオンラインショップで1000台のiPhone Xが同時多発的に搾取される事件が発生した。一部の受け子は逮捕されたが、首謀者を含め大半は捕まっていない。

別なiPhoneにApple IDを移して悪用する

Appleユーザーなら、iCloudにiPhone/iPadのバックアップを取っていると思う。Apple IDがあれば、別なiPhoneにバックアップデータを復元することができる。復元するデータにはApple PayなどのWalletに登録したクレジットカード情報も含まれる。カードを使うにはクレジットカード裏面の3桁の確認コードの入力が必要だが、フィッシング詐欺の手法を用いて所有者を騙して入手することはそれほど難しくはない。

iCloudのバックアップデータでプライバシーがダダ洩れ

iCloudには写真や動画、メールアカウントなど、さまざまな情報がバックアップされている。つまり、iCloudを乗っ取られてしまタラ、プライバシーはすべて知られることになるといっても過言ではない。写真やメールをネタに脅迫されるなどの犯罪につながるリスクもある。また、iPhoneにさまざまなWebサービスのID、パスワードを憶えさせていたら、その情報もApple ID1つですべて取得可能だ。Googleアカウント、Amazon、楽天、Yahoo! Japan、携帯電話会社のIDパスワード……あなたは、いくつのWebサービスをスマートフォンで利用しているだろうか?

フィッシング詐欺被害を回避するポイント

この3つの被害を考えるだけでも、Apple IDがどれだけ犯罪者にとって有用なのか理解していただけるだろう。以下、こうしたフィッシング詐欺による被害を回避するためにやっておくべきことをまとめておこう。

SMSやメールで送られてくるメッセージに含まれているURLは絶対に開かない

自分の使っている企業のサービスなら、正規サイトの自分のアカウントにログインすれば、自分あての連絡事項を確認することができる。メールやSMSのURLは利用せず、正規サイトをブックマークしておき、そこからログインすれば偽サイトに誘導されることはない。

2要素認証を設定しておく

Apple IDだけでなく、銀行口座やクレジットカードなど決済情報を登録しているサイトでは、必ず2要素認証を設定しておくことだ。パスワードは自分が漏らさなくても、企業からの情報漏洩やハッカーの技術によって破られることがある。2要素認証の確認コード自体を盗むフィッシング詐欺手口も発生しているため、2要素認証が万能とは言えないが、犯罪被害を防ぐ大きな抑止力となる。

ウイルス対策ソフトのフィッシング詐欺サイトを防ぐ機能を活用する

SafariやChromeでは、通報された最新の詐欺サイトのURLが常に読み込まれ、ブラックリストに登録されている。日本国内の情報も官民連携がうまく機能し、比較的早く反映されている。Chromeの場合、通報されたフィッシング詐欺サイトや偽販売サイトのURLにアクセスしようとすると、真っ赤な警告画面が出る。

主要な総合セキュリティソフトベンダー(ノートン、ウイルスバスター、McAfee、カスペルスキーほか)も、このURLブラックリストの提供を受けているが、ソフトへの反映され方はベンダーによってまちまちだ。ブラックリストには、詐欺サイトのごく一部分しか登録されず、特にフィッシング詐欺などはURLが変わる頻度が24時間以下のため登録が間に合わない。また、何らかの理由でブラックリストフィードを中断しているベンダーもあるように見受けられる。

このような、ブラウザーや総合セキュリティ対策ソフトの欠点を補う、ネット詐欺専用セキュリティソフト(詐欺ウォール/BBSS)もある。ブラックリストに加え、リアルタイムにサイトの危険性をスコア化して自動判別する機能を持ったもので、URLを変更した詐欺サイトでも同じものだと判別できる強みがある。

ネット詐欺は画面に表示する情報で、ユーザーを騙して行動させるのがとても上手だ。ちょっとした翻訳ミスや、変な日本語表現を笑って「私は見抜ける」と思い込んでしまっては、相手の思うつぼだ。「私は騙されない」というのは、勘違いであると断言しておく。

今回紹介したように、ブラウザ、ウイルス対策ソフト、ネット詐欺専用セキュリティソフトの3つのレイヤーで詐欺サイト対策をすることをお勧めする。

著者プロフィール

山本和輝(やまもとかずてる)


外資系ソフトウェアベンダー数社の日本支社マーケティング部門を経て、2000年よりシマンテックにて消費者むけ総合セキュリティソフトの国内普及に携わる。
ソフトバンクグループのBBソフトサービスに入社後はセキュリティ事業の広報マーケティング業務を行うと同時に、社外のセキュリティ団体にて一般消費者のサイバー犯罪被害を無くすための啓発活動も積極的に行っている。