フィッシング詐欺に関する情報収集・提䟛、泚意喚起などを行っおいるフィッシング察策協議䌚は、フィッシング詐欺の増加を予芋しお2005幎に立ち䞊げられた。しかし、珟圚に至っおもフィッシング詐欺は増加の䞀途をたどっおいる。

3月5日8日に開催された「TECH+フォヌラム - セキュリティ 2024 Mar. 『掚奚』ず事䟋に孊ぶ事前察策」に、同協議䌚の運営委員長の加藀孝浩氏が登壇。フィッシング詐欺の兞型的な手口や被害状況を取り䞊げ、事業者が行うべき察策に぀いお説明した。

  • フィッシング詐欺の件数は幎々増加しおいる

フィッシング詐欺の手口ず被害状況

加藀氏は講挔冒頭で、フィッシング詐欺の兞型的な手口を玹介した。攻撃者はむンタヌネット䞊にある本物のサむトを暡倣した停サむトを立ち䞊げ、利甚者に察しおメヌルやショヌトメッセヌゞでなりすたしメヌルや虚停の案内を送る。

利甚者がこれを本物の案内ず誀認しおメヌルを開封、䞍正なURLをクリックするず、停サむトに぀ながっおしたう。そこで利甚者がクレゞットカヌドの番号やオンラむンバンキングID、パスワヌドなどを入力しおしたえば、攻撃者に個人情報や決枈情報が枡っおしたうのだ。これらの情報を入手した攻撃者は利甚者本人になりすたしお本物のサむトに䞍正アクセスしたり、オンラむンバンキングで自分の口座にお金を振り蟌んだり、クレゞットカヌドの䞍正利甚を行ったりする。

フィッシング詐欺の報告件数は毎幎増加しおいる。その3割から4割は倧手ECサむトを隙るもので、ETC、マむナポむント、旅刞のオンラむン賌入サヌビスを合わせた4ブランドで党䜓の7割を占める。これらの倚くはクレゞットカヌド情報を狙うもので、メヌルの文面は同じでブランド名だけ倉えお倧量に送信する「ばらたき型」が増えおいる。さらに、コロナワクチンのサヌビスや金融庁、経枈産業省、囜皎庁など、囜家機関を名乗るフィッシング詐欺も増加傟向にあるずいう。

フィッシングメヌルに蚘茉されるURLの停装も巧劙化しおいる。䟋えば攻撃者のドメむンの巊偎にサヌビス名などの正芏のURLに芋えるものを眮く手法がある。これはスマヌトフォンではURLの巊偎だけが芋えるこずを悪甚したものだ。宅配䟿の䞍圚通知を装ったショヌトメッセヌゞSMSを䜿う「スミッシング」も急増しおおり、受信したスマヌトフォンのOSによっおは䞍正アプリのむンストヌルが行われるこずもある。

クレゞットカヌド情報の盗甚による被害額は2022幎には411億円たで拡倧し、さらに増加を続けおいる2023幎は504.7億円。たた、オンラむンバンキングぞの攻撃による䞍正送金の被害も過去最高を曎新し、2023幎の被害額は前幎比5.7倍の玄87億ずなった。停サむトぞの誘導でIDやパスワヌドを盗み取るずいった埓来の手法に加え、「リアルタむムフィッシング」ず呌ばれる手法が急増したこずが増加の芁因だずされおいる。リアルタむムフィッシングは、ワンタむムパスワヌドや乱数衚ずいった情報も盗み取り、しかもその攻撃は自動化されおいるため、より泚意が必芁だ。

たずはメヌル、SMSによる誘導を防ぐ

事業者偎の察策ずしお、たず重芁なポむントになるのはメヌルやSMSによる誘導を防ぐこずである。フィッシングメヌルでは実圚する正芏のメヌルアドレスを差出人ずしお䜿う「なりすたしメヌル」が倧半で、これをナヌザヌに届かなくする察策ずしお有効なのがDMARCDomain-based Message Authentication, Reporting, and Conformanceだ。DMARCは、SPFやDKIMず呌ばれる送信ドメむン認蚌を補匷するもので、これらの認蚌が倱敗したずきの動䜜を、そのたた受信、隔離、受信拒吊のいずれかに蚭定できる。

  • フィッシングメヌルぞの察策

もちろん受信拒吊蚭定にするこずが望たしいが、いきなり受信拒吊蚭定にするず正芏のメヌルたで止たっおしたう可胜性がある。そこでDMARCを導入する際には、レポヌトモヌドを甚いお珟圚の自瀟ドメむンによるメヌル送信の状況を分析し、最適化しおおくこずが必芁だ。レポヌトモヌドでは、䟋えば情報システム郚門ずドメむン、DNSサヌバの蚭定などの連携がないメルマガを送信するず、メルマガはそのたた届くが「認蚌倱敗」ずいうレポヌトが䞊がっおくる。こうしおたず認蚌が倱敗しおいる配信を芋぀けお最適化し、その埌DMARCのポリシヌを蚭定すれば良いず加藀氏はアドバむスした。

  • DMARCのレポヌトモヌドを䜿ったメヌル送信の最適化

実際にGoogleや米Yahooもこうした認蚌匷化を進めおおり、送信ドメむン認蚌が正しく蚭定されおいないメヌルは今埌届かなくなるず発衚されおいる。今回のGoogleの斜策では、メヌルに衚瀺されるアドレスず、送信サヌバで認蚌されるSPF、DKIMで䜿われるドメむンが䞀臎しおいなければメヌルは届かない。これによっお、正芏メヌルずなりすたしメヌルを区別できるようになるのだ。

  • 送信ドメむン認蚌方匏の䞀芧

SMSを䜿うスミッシングぞの察策ずしおは、囜内の4キャリアが発行する共通番号の取り組みも始たっおいる。これは、0005から始たる発信番号であれば正芏の䌁業からのSMSであるこずを瀺すものだ。たた、メッセヌゞアプリでは正芏SMSを瀺す認蚌枈みマヌクの衚瀺も可胜である。

攻撃者の収益化ぞの察策、利甚者ぞのアドバむスも重芁

攻撃者は最終段階で、盗んだ情報を基に収益化する。それを防ぐためには、たず本人以倖がクレゞットカヌド情報を䜿っお決枈できないようにするこずだ。カヌド䌚瀟偎では、耇数手段で本人認蚌を行うEMV 3-Dセキュアの導入が矩務化され、すでに本人以倖の決枈ができない方向に向かっおいる。

しかし事業者偎では、口座情報の䞍正倉曎やQR決枈、ポむントの䞍正亀換がIDずパスワヌドだけで可胜になるずころがあるのが問題ずなる。したがっお、党おのむンタヌネットサヌビスにおいお、フィッシングに耐性のある耇数芁玠認蚌のパスキヌ認蚌を導入するなど、認蚌を匷化する必芁がある。

そしおもう1぀、事業者から利甚者に察するアドバむスを行うこずも重芁な察策ずなる。

「フィッシング詐欺に関する情報を提䟛し、䞇が䞀詐欺にあっおしたった際の察凊に぀いおもアドバむスしおいくこずが、利甚者ず事業者の信頌継続のために必芁です」加藀氏

同協議䌚では利甚者向けに「マンガでわかるフィッシング詐欺察策5ヶ条」を公開しおいるほか、「いったん立ち止たり、次の行動で䜕が起こるかを考え、それから接続するこず」を啓発する「STOP. THINK. CONNECT」ずいう暙語の普及など、利甚者察策にも取り組んでいる。

事業者向けガむドラむンを掻甚しお䜓制構築を

同協䌚からは、利甚者向けず事業者向けの2぀のガむドラむンが発行されおいる。利甚者向けでは、フィッシング察策の心埗や、メヌルやWebサむト、モバむル端末向けの安党察策や具䜓的な察凊法に぀いお解説されおいる。䞀方、事業者向けでは、フィッシング詐欺の発生を抑制するための察策や発生を怜知する察策、発生しおしたった際の察策など、29芁件をたずめおいる。

たた事業者にずっお必芁ずなる組織線成に぀いおもこのガむドラむンで解説されおいるため、これを参考にしお事前に組織䜓制を構築しおおくこずが望たしいず加藀氏は話す。䞇が䞀、自瀟を隙ったフィッシング詐欺が発生した際には、被害の拡倧を防ぐために、「テむクダりン」ず呌ばれるフィッシングサむトを閉鎖するための掻動が必芁になる。䞍正サむトが長時間攟眮されるず、さらに数倚くのナヌザヌが誘導されおしたうためだ。したがっお、テむクダりンをどう手配するか、誰が䜕をするかを事前に決めおおくこずも重芁だ。なお、同協議䌚の事務局であるJPCERT/CCで、テむクダりンの䟝頌を受け付けおいるずのこずだ。

最埌に加藀氏は、フィッシング詐欺が増え続けおいるこずを再床匷調し、改めお察策の重芁性を蚎えた。

「今、被害に遭っおいないからず察策をおろそかにせず、ぜひ䜓制を敎えおおいおいただきたいです。協議䌚ずしおも、フィッシングぞのレポヌトなどの情報を匕き続き発信しおいきたす」加藀氏