フィッシング詐欺に関する情報収集・提供、注意喚起などを行っているフィッシング対策協議会は、フィッシング詐欺の増加を予見して2005年に立ち上げられた。しかし、現在に至ってもフィッシング詐欺は増加の一途をたどっている。
3月5日~8日に開催された「TECH+フォーラム - セキュリティ 2024 Mar. 『推奨』と事例に学ぶ事前対策」に、同協議会の運営委員長の加藤孝浩氏が登壇。フィッシング詐欺の典型的な手口や被害状況を取り上げ、事業者が行うべき対策について説明した。
-
フィッシング詐欺の件数は年々増加している
フィッシング詐欺の手口と被害状況
加藤氏は講演冒頭で、フィッシング詐欺の典型的な手口を紹介した。攻撃者はインターネット上にある本物のサイトを模倣した偽サイトを立ち上げ、利用者に対してメールやショートメッセージでなりすましメールや虚偽の案内を送る。
利用者がこれを本物の案内と誤認してメールを開封、不正なURLをクリックすると、偽サイトにつながってしまう。そこで利用者がクレジットカードの番号やオンラインバンキングID、パスワードなどを入力してしまえば、攻撃者に個人情報や決済情報が渡ってしまうのだ。これらの情報を入手した攻撃者は利用者本人になりすまして本物のサイトに不正アクセスしたり、オンラインバンキングで自分の口座にお金を振り込んだり、クレジットカードの不正利用を行ったりする。
フィッシング詐欺の報告件数は毎年増加している。その3割から4割は大手ECサイトを騙るもので、ETC、マイナポイント、旅券のオンライン購入サービスを合わせた4ブランドで全体の7割を占める。これらの多くはクレジットカード情報を狙うもので、メールの文面は同じでブランド名だけ変えて大量に送信する「ばらまき型」が増えている。さらに、コロナワクチンのサービスや金融庁、経済産業省、国税庁など、国家機関を名乗るフィッシング詐欺も増加傾向にあるという。
フィッシングメールに記載されるURLの偽装も巧妙化している。例えば攻撃者のドメインの左側にサービス名などの正規のURLに見えるものを置く手法がある。これはスマートフォンではURLの左側だけが見えることを悪用したものだ。宅配便の不在通知を装ったショートメッセージ(SMS)を使う「スミッシング」も急増しており、受信したスマートフォンのOSによっては不正アプリのインストールが行われることもある。
クレジットカード情報の盗用による被害額は2022年には411億円まで拡大し、さらに増加を続けている(2023年は504.7億円)。また、オンラインバンキングへの攻撃による不正送金の被害も過去最高を更新し、2023年の被害額は前年比5.7倍の約87億となった。偽サイトへの誘導でIDやパスワードを盗み取るといった従来の手法に加え、「リアルタイムフィッシング」と呼ばれる手法が急増したことが増加の要因だとされている。リアルタイムフィッシングは、ワンタイムパスワードや乱数表といった情報も盗み取り、しかもその攻撃は自動化されているため、より注意が必要だ。
まずはメール、SMSによる誘導を防ぐ
事業者側の対策として、まず重要なポイントになるのはメールやSMSによる誘導を防ぐことである。フィッシングメールでは実在する正規のメールアドレスを差出人として使う「なりすましメール」が大半で、これをユーザーに届かなくする対策として有効なのがDMARC(Domain-based Message Authentication, Reporting, and Conformance)だ。DMARCは、SPFやDKIMと呼ばれる送信ドメイン認証を補強するもので、これらの認証が失敗したときの動作を、そのまま受信、隔離、受信拒否のいずれかに設定できる。
