2021年、 コロナ禍で急増したフィッシング

フィッシングは、新型コロナウイルスのパンデミック後に最も増加した脅威である。Vade Secure(以下、Vade)の測定においても急激な増加を確認しているが、フィッシング対策協議会のレポートにおいても高い水準で推移している。2021年8月には過去最高を記録し、以降は微減しているが、それでも2020年よりはるかに高い数値となっている。

  • 2021年11月のフィッシング報告件数 出典:フィッシング対策協議会

2021年11月のレポートによると、最も悪用されたブランドはAmazonであり、報告数全体の約28.5%を占めた。上位5ブランドはAmazon、メルカリ、三井住友カード、楽天、ETC利用照会サービスとなっており、これらの合計は報告数全体の約67.7%に達している。また、1,000件以上の大量の報告を受けたブランドは9つあり、これら上位9ブランドで全体の約79.2%を占めた。

フィッシングは、銀行やショッピングサイト、SNSなどのオフィシャルメールを偽造して、ユーザーのログイン情報を盗むためのスパムメールを指す。主に、ログイン名とパスワードを要求するWebページにリダイレクトするリンクが含まれており、ここにユーザーを誘導してログイン情報を盗もうとする。

フィッシングはサイバー犯罪者にとって“割のいい”収入源となっている。アンダーグラウンドの市場では、サイバー犯罪者向けにフィッシングサービスが提供されており、これを利用することでフィッシングサイト、フィッシングメールを安価に制作できるという。フィッシングによって収集したログイン情報も管理でき、フィッシングサービスから売買も可能になっている。

盗み出されたログイン情報はリスト化されて売買されるほか、他のサービスへのログイン試行にも悪用される。複数のサービスで同じパスワードを使い回している場合は、容易に不正アクセスされてしまう。不正といってもシステム上では正規のユーザーとしてログインするため、サービスを悪用され、さまざまな被害に遭う可能性がある。

フィッシングの傾向と特徴:銀行

Vadeでは、「銀行」「ECサイト」「SNS」の3つを日本におけるフィッシングの主な脅威としている。銀行には、オンラインバンキングやクレジットカードなどのフィッシングが含まれる。サイバー犯罪者は、銀行などからの正規の通知メールを把握しており、これにそっくりなフィッシングメールを送る。

メールの内容は、「新たなセキュリティ対策を導入したので、ログインしてアップデートしてください」といったものや、残高や引き落とし金額の確認などが多い。リンクにより誘導されるフィッシングサイトも巧妙に作られており、普段はログイン時に聞かれないような2段階認証の内容や乱数表を入力させたり、クレジットカードの詳細な情報を入力させたりする。

  • アメックスカードをかたるフィッシングの例

これらの情報をうっかり入力してしまうと、オンラインバンキングであればサイバー犯罪者に不正送金を実行されたり、クレジットカードを不正に使用されたりしてしまう。多くの金融サービスでは被害額を補償してくれるが、銀行口座やクレジットカードの再発行には手間も時間もかかり、大きな影響を受けることになってしまう。

フィッシングの傾向と特徴:ECサイト

ECサイトは、前述のフィッシング対策協議会のレポートのように、現在最も多くフィッシングに悪用されている。ECサイトのフィッシングでは、「不正アクセスが発生しているためログインしてアカウントを確認してください」「引き落としができない」といったものや、身に覚えのない購入確認メールなど、ユーザーを焦らせるような内容が多くなっている。

最近では、「本人確認のお知らせ」として通常とは異なるログインがあったと確認を求めるようなフィッシングも確認されている。「確認されたログイン情報」として分析結果も表示される。例えば、中国でログインがあったとしてIPアドレスや地名、地図などが表示される。

  • 「普段と異なるログインがあった」とするフィッシングの例

また、身に覚えのない購入確認メールでは、購入後に送信される購入確認メールと同じ体裁で、例えば8万円の液晶ディスプレイを購入したと記載されている。この記載とともに「キャンセルはこちら」というボタンが表示されており、ユーザーは急いでキャンセルしようとしてボタンをクリックしてしまう。

フィッシングメールは巧妙化が進んでおり、文面の日本語も違和感のないものになっている。さらに、ユーザーに早急な対応が必要であると思わせ、冷静な判断を失わせる手法が次々に登場しているため、より一層の注意が必要となる。悪用するブランドも増えており、最近ではETCカードを騙るフィッシングが多数確認されている。

  • ETCカードをかたるフィッシングの例