2021年スパム、フィッシングのトレンドと2022年の予測(2) 2021年のフィッシングのトレンドとは？最も悪用されたブランドはAmazon

2021年、コロナ禍で急増したフィッシング

フィッシングは、新型コロナウイルスのパンデミック後に最も増加した脅威である。Vade Secure（以下、Vade）の測定においても急激な増加を確認しているが、フィッシング対策協議会のレポートにおいても高い水準で推移している。2021年8月には過去最高を記録し、以降は微減しているが、それでも2020年よりはるかに高い数値となっている。

2021年11月のフィッシング報告件数　出典：フィッシング対策協議会

2021年11月のレポートによると、最も悪用されたブランドはAmazonであり、報告数全体の約28.5％を占めた。上位5ブランドはAmazon、メルカリ、三井住友カード、楽天、ETC利用照会サービスとなっており、これらの合計は報告数全体の約67.7％に達している。また、1,000件以上の大量の報告を受けたブランドは9つあり、これら上位9ブランドで全体の約79.2％を占めた。

フィッシングは、銀行やショッピングサイト、SNSなどのオフィシャルメールを偽造して、ユーザーのログイン情報を盗むためのスパムメールを指す。主に、ログイン名とパスワードを要求するWebページにリダイレクトするリンクが含まれており、ここにユーザーを誘導してログイン情報を盗もうとする。

フィッシングはサイバー犯罪者にとって“割のいい”収入源となっている。アンダーグラウンドの市場では、サイバー犯罪者向けにフィッシングサービスが提供されており、これを利用することでフィッシングサイト、フィッシングメールを安価に制作できるという。フィッシングによって収集したログイン情報も管理でき、フィッシングサービスから売買も可能になっている。

盗み出されたログイン情報はリスト化されて売買されるほか、他のサービスへのログイン試行にも悪用される。複数のサービスで同じパスワードを使い回している場合は、容易に不正アクセスされてしまう。不正といってもシステム上では正規のユーザーとしてログインするため、サービスを悪用され、さまざまな被害に遭う可能性がある。

フィッシングの傾向と特徴：銀行

Vadeでは、「銀行」「ECサイト」「SNS」の3つを日本におけるフィッシングの主な脅威としている。銀行には、オンラインバンキングやクレジットカードなどのフィッシングが含まれる。サイバー犯罪者は、銀行などからの正規の通知メールを把握しており、これにそっくりなフィッシングメールを送る。

メールの内容は、「新たなセキュリティ対策を導入したので、ログインしてアップデートしてください」といったものや、残高や引き落とし金額の確認などが多い。リンクにより誘導されるフィッシングサイトも巧妙に作られており、普段はログイン時に聞かれないような2段階認証の内容や乱数表を入力させたり、クレジットカードの詳細な情報を入力させたりする。

アメックスカードをかたるフィッシングの例

これらの情報をうっかり入力してしまうと、オンラインバンキングであればサイバー犯罪者に不正送金を実行されたり、クレジットカードを不正に使用されたりしてしまう。多くの金融サービスでは被害額を補償してくれるが、銀行口座やクレジットカードの再発行には手間も時間もかかり、大きな影響を受けることになってしまう。

フィッシングの傾向と特徴：ECサイト

ECサイトは、前述のフィッシング対策協議会のレポートのように、現在最も多くフィッシングに悪用されている。ECサイトのフィッシングでは、「不正アクセスが発生しているためログインしてアカウントを確認してください」「引き落としができない」といったものや、身に覚えのない購入確認メールなど、ユーザーを焦らせるような内容が多くなっている。

最近では、「本人確認のお知らせ」として通常とは異なるログインがあったと確認を求めるようなフィッシングも確認されている。「確認されたログイン情報」として分析結果も表示される。例えば、中国でログインがあったとしてIPアドレスや地名、地図などが表示される。

「普段と異なるログインがあった」とするフィッシングの例

また、身に覚えのない購入確認メールでは、購入後に送信される購入確認メールと同じ体裁で、例えば8万円の液晶ディスプレイを購入したと記載されている。この記載とともに「キャンセルはこちら」というボタンが表示されており、ユーザーは急いでキャンセルしようとしてボタンをクリックしてしまう。

フィッシングメールは巧妙化が進んでおり、文面の日本語も違和感のないものになっている。さらに、ユーザーに早急な対応が必要であると思わせ、冷静な判断を失わせる手法が次々に登場しているため、より一層の注意が必要となる。悪用するブランドも増えており、最近ではETCカードを騙るフィッシングが多数確認されている。

ETCカードをかたるフィッシングの例

2021年のフィッシングのトレンドとは？最も悪用されたブランドはAmazon

目次

2021年、コロナ禍で急増したフィッシング

フィッシングの傾向と特徴：銀行

フィッシングの傾向と特徴：ECサイト

この連載の前後回

AIが勧める、あなたのための会員限定記事

経営者たちの書架第12回 NTTPCコミュニケーションズ社長工藤潤一氏が選ぶ一冊『利己的な遺伝子』

生成AIの建築・建設・不動産分野における実践的な活用法とは

AIで建築ラッシュのデータセンター、米国では住民の反発も

太陽誘電など、固体酸化物形燃料電池を大幅に小型化するマイクロリアクターを開発

AIバブル論の現在地 - 前編「AIは新たな産業革命」に賭けるハイパースケーラー

京大、人工次元で乱れに強い「トポロジカル原子レーザー」発振に成功

編集部が選ぶ関連記事

2021年スパム、フィッシングのトレンドと2022年の予測第1回 2021年のスパムのトレンドとは？「楽して稼ぐ詐欺」と「出会い系詐欺」

8万人にフィッシング詐欺メールの実験、IT/DevOps部門が一番多くクリック

SMSを利用したフィッシング詐欺、企業名を利用された業界の第1位は？

IPA、「情報セキュリティ10大脅威 2022」発表 - 今年の第1位は？

GoogleアカウントがGmailアドレス「@gmail.com」の変更に対応

SNMPのオープンソース実装「Net-SNMP」に緊急脆弱性、利用製品に影響及ぼす可能性

NVIDIAの開発フレームワークに緊急脆弱性、直ちにアップデートを

パスワード侵害の最善策はパスワードを使用しないこと

他人事から自分事へ - 大阪大学CISOが語る、組織を強くする真のサイバーレジリエンス

侵入を前提とした“対応”と“回復”のリアリティ - IIJ根岸氏×アクセンチュア藤井氏が語る、サイバーレジリエンスの実装

このカテゴリーについて

2021年のフィッシングのトレンドとは？最も悪用されたブランドはAmazon

目次

2021年、 コロナ禍で急増したフィッシング

フィッシングの傾向と特徴：銀行

フィッシングの傾向と特徴：ECサイト

この連載の前後回

AIが勧める、あなたのための会員限定記事

経営者たちの書架 第12回 NTTPCコミュニケーションズ 社長 工藤潤一氏が選ぶ一冊『利己的な遺伝子』

生成AIの建築・建設・不動産分野における実践的な活用法とは

AIで建築ラッシュのデータセンター、米国では住民の反発も

太陽誘電など、固体酸化物形燃料電池を大幅に小型化するマイクロリアクターを開発

AIバブル論の現在地 - 前編 「AIは新たな産業革命」に賭けるハイパースケーラー

京大、人工次元で乱れに強い「トポロジカル原子レーザー」発振に成功

編集部が選ぶ関連記事

2021年スパム、フィッシングのトレンドと2022年の予測 第1回 2021年のスパムのトレンドとは？「楽して稼ぐ詐欺」と「出会い系詐欺」

8万人にフィッシング詐欺メールの実験、IT/DevOps部門が一番多くクリック

SMSを利用したフィッシング詐欺、企業名を利用された業界の第1位は？

IPA、「情報セキュリティ10大脅威 2022」発表 - 今年の第1位は？

GoogleアカウントがGmailアドレス「@gmail.com」の変更に対応

SNMPのオープンソース実装「Net-SNMP」に緊急脆弱性、利用製品に影響及ぼす可能性

NVIDIAの開発フレームワークに緊急脆弱性、直ちにアップデートを

パスワード侵害の最善策はパスワードを使用しないこと

他人事から自分事へ - 大阪大学CISOが語る、組織を強くする真のサイバーレジリエンス

侵入を前提とした“対応”と“回復”のリアリティ - IIJ根岸氏×アクセンチュア藤井氏が語る、サイバーレジリエンスの実装

このカテゴリーについて

2021年、コロナ禍で急増したフィッシング

経営者たちの書架第12回 NTTPCコミュニケーションズ社長工藤潤一氏が選ぶ一冊『利己的な遺伝子』

AIバブル論の現在地 - 前編「AIは新たな産業革命」に賭けるハイパースケーラー

2021年スパム、フィッシングのトレンドと2022年の予測第1回 2021年のスパムのトレンドとは？「楽して稼ぐ詐欺」と「出会い系詐欺」