警視庁の発表によると、2019年9月からフィッシング詐欺による
不正送金の被害額が一気に6倍に達しているという。
この記事の【目 次】
個人を狙うフィッシング詐欺の被害が激増中
警察庁による発表では、2019年9月から、フィッシング攻撃によるものとみられる不正送金被害が急増しており、被害件数で前月比4倍、被害額は6倍に達しているという。この勢いは衰えを見せておらず、10月も引き続き猛威を振るっている状況だという。
フィッシング詐欺とは?
フィッシング詐欺とはインターネット上で行われる詐欺行為です。クレジットカードやネットバンクなどの正規のサービスになりすまして、ユーザーからログイン情報などを盗み出します。
フィッシングは英語では「phishing」と綴ります。よく「fishing」と間違われるのですが、フィッシング詐欺では「魚釣り(fishing)」と洗練されたsophisticated」の2つを組み合わせて作られた造語であると言われています。
フィッシング詐欺の被害にあうことで、クレジットカードを不正に利用されて買い物されたり、ログインが必要なサービスも悪用されたりします。さらにユーザーが気づかないうちにパスワードを変更されてしまうと、サービスの解約もできなくなるので警戒が必要です。
フィッシング詐欺の仕組み
フィッシング詐欺を行う目的は、クレジットカードやWebサービス、ネットバンクのログイン情報などの搾取です。このように不正に入手された情報は闇市場で取引されます。大部分の攻撃者は、より多くの情報を得るために不特定多数をターゲットとします。しかしフィッシング詐欺の中には、特定の個人や企業をターゲットとすることもあり、これは「スピアフィッシング」と呼ばれます。
フィッシング詐欺の多くは「フィッシングメール」と呼ばれるメールを悪用して行われます。メールを受信したユーザーをフィッシングサイトに誘導し、クレジットカードやネットバンクなどの情報を入力させようとします。
フィッシングメールの文章は今すぐ何とかしないといけないと思わせるような、人間の心理を利用した文面が使われています。
最近ではスマートフォンのメールに特化したものや、facebookやLINEなどのSNSのメッセージ機能を悪用したケースも確認されています。
なぜ、フィッシング詐欺が激増してるのか?
警察庁の発表で注視すべき点は、これが警察庁の発表で有るという点で考えると「フィッシング攻撃にひっかかる人が増えた」と捉えることが出来る点だ。
単に「迷惑メールを受信した」だけで被害にあってなければ警察に被害届を出す人は少ないだろう。しかし、警察庁の発表ということで有れば、実際の被害を申告した人の数で有り、単に攻撃が増えたということでなく、被害自体が増加しているということだ。
では、何故フィッシング攻撃の被害にあう人が急増しているのだろうか?サイバー攻撃者のフィッシング攻撃キャンペーン自体が増加しているだけでは、説明がつかない。フィッシングメール自体は珍しくなく、多い人で有れば1日に数通は届くことも有るだろう。
この到達数がどれだけ増加しても、フィッシングメールと一目でわかるようなメールが幾ら届いたところで、ある程度リテラシーが有る人ならひっかからないからだ。攻撃回数が増えたというのは原因の一つとして有るかもしれないが、フィッシング攻撃そのものの質が変化したと捉えるべきだろう。
実際、最近のフィッシングメールと、フィッシングサイトを利用した攻撃は、数年前から格段に進化しており、「古いフィッシング攻撃の見分け方」を知っている人ほど、ひっかかりやすい巧妙な攻撃へと進化している。
目視での判別はほぼ不可能
実際、最近のフィッシングメールと、フィッシングサイトを利用した攻撃は、数年前から格段に進化しており、「古いフィッシング攻撃の見分け方」を知っている人ほど、ひっかかりやすい巧妙な攻撃へと進化している。
「古いフィッシング攻撃の見分け方」では、「怪しい」と感じたらメールを開かない、URLをクリックしないようにとされてきた。そして、数年前のフィッシング攻撃は、明らかに怪しいものが多く、ある程度容易に判別することが出来た。
突然英語によるメールが届いたり、片言の日本語だったり、文章そのものがおかしかったり、ひっかかる人が居るのか?と疑いたくなるレベルのものが多く、「怪しい」と感じたらメールを開かない、URLをクリックしないという考え方は、一定の効果があったと考えられる。
しかし、「怪しい」と感じることが出来なかったら?ここ最近のフィッシング攻撃は、目視レベルでは、偽物だと気づくことは非常に難しくなっている。
ドメイン名でも判別は不可能
「見た目で判別がつかなくても、ドメイン名で見分けることが出来る。」そんな風に考える人も居るかもしれない。そういった古い常識を狙うのが、ラテラルフィッシングと呼ばれる、フィッシング攻撃だ。
最近は、Office365のようにメール配信機能を持つクラウドサービスを導入している企業は少なくない。こういったメール配信機能を持つクラウドサービスのアカウントを乗っ取ることが出来れば、正規のドメインからフィッシングメールを送信することが出来るようになる。
最近の事例を一つ紹介しよう。「結果にコミットする」で有名なライザップグループが、このラテラルフィッシングと見られる被害を受けている。
効果的な対策5つを徹底解説
1.パソコンやモバイル端末は、安全に保つ
フィッシング対策やスパムメール対策用のソフトウエアを使えば、
危険なサイトにアクセスしたときや、怪しいメールを受け取ったときに警告が表示されます。
また、インターネットブラウザには、最新の修正プログラムを導入しておきましょう。
古いソフトウェアは隙だらけ
古いソフトウエア (OS やアプリケーションなど)を利用していると、Web やメール、USB 対応機器などを通じて、コンピュータウイルスがパソコンやモバイル端末に侵入する隙を多く与えてしまいます。
最近では、古いバージョンの Java や、古いバージョンの Flash Player 等を利用している消費者が、コンピュータウイルスに感染する傾向が見られます。
リスク低減の観点から、可能な限り最新のソフトウエア (OS やアプリケーションなど) を利用したいものです。
インターネットプラウザは最新なものに
インターネットブラウザには、最新の修正プログラムを導入しましょう。
ネットバンキングやインターネットショッピングを安全に利用するには、普段利用しているブラウザを常にアップデートしておく必要があります
2.不審なメールに注意しましょう。
銀行やクレジットカード会社が、メールを通じてお客さまの口座番号やクレジットカード番号、ID やパスワードを確認することはありません。
このような問いかけのメールには、注意が必要です。
銀行やカード会社は、メールでは個人情報を確認しません。
前提として、電子メールの差出人情報やメール文面は簡単に詐称出来るため、メールの真贋を見抜くことは出来ません。
しかし、銀行やクレジットカード会社が、メールによって顧客の口座番号やクレジットカード番号、IDやパスワードを確認することはありません。このような、本来送られるはずのないメールを受信したら、注意が必要です。
不審なメールが届いたら、銀行やクレジットカード会社などに確認するようにしましょう
銀行からのメールで、電子署名がついていたら安全
銀行によっては、電子メールに電子署名を付与してメールを送っています。 これは、銀行が顧客に対して、電子メールの差出人と内容が改ざんされてないことを証明するための手段として提供しているものです。
銀行の場合、電子署名を採用している場合が多く、メールに電子署名が付いてれば、正規のメールであることが確認できます。
3.電子メールにあるリンクはクリックするな
メール本文中のリンクはフィッシングサイトに誘導される危険があります。
サイトへアクセスする際は、お使いのブラウザの 「お気に入り」 や 「ブックマーク」 の機能を利用して、正しいサイトへアクセスするようにしましょう
クリックすると、悪質のある別サイトに誘導される。
4.不審なメールやサイトは報告する。
本物でないと思われるメールを受け取ったり、フィッシングサイトを発見したら、
「フィッシング対策協議会」に報告してください
5.銀行やクレジット会社の連絡先リストを作る。
怪しいメールやフィッシングサイトを見つけた際に
問い合わせる電話番号や、メールアドレスを控えておきましょう。
少しでも 「おかしいな・・・」 と思ったら、すぐに連絡して確認すれば安心です。
少しでも「おかしいな」と感じたら、すぐに問合せする。
誤って個人情報(ID やパスワードなど)を入力してしまった場合は、被害を最小限に抑え、二次被害を防止するため、銀行やクレジットカード会社などの関係機関に報告・相談をしてください。すぐに問い合わせができるように連絡先を控えておきましょう。
フィッシング詐欺被害を受けたことに気付くタイミングとして、下記の状況が考えられます。
■情報を入力した後に、いつもと違う挙動が見られた。
(例) ログインした後にトップページに移動してしまった
(例) 期待した手続きに進まなかった
■ID / Password を入力したがエラーになった。
■普段と違うタイミングで乱数表の入力が求められた。
■クレジットカードの利用明細や銀行の通帳などに覚えのない取引が記載されている。
