毎年、年末年始に急増するサイバー攻撃の一つが『フィッシング詐欺』です。フィッシング詐欺とは実在する会社を装い、インターネットを利用した人からIDやパスワードなどの個人情報・企業データ・クレジットカード情報などをだまし取る手口の詐欺で、最近では大手のクレジット会社や通販会社を装いEメールやSMSを送りつけ、偽サイトへ誘導した上で情報をだまし取る手口が増加しています。中にはインターネットを利用している最中に突然「ウィルスに感染しました」などのメッセージを表示させ、偽サイトへ誘導したりサポートセンターと騙る悪用者に電話させたりする手口も存在します。
今回は、年々増加しているフィッシング詐欺の手口と事例、対策方法について分かりやすくご紹介します。
まず、直近のフィッシング詐欺に関する報告件数(海外含む)をご紹介します。<出典:フィッシング対策協議会>
2021年12月のフィッシング報告件数は6万3159件で、2019年12月の報告件数8208件と比較すると約7.7倍まで急増しました。さらに2022年11月の報告件数は7万204件に上り、急増はしていないものの報告件数は依然として増加傾向にあります。近年ではAmazonを騙るフィッシング詐欺が急増し、全体の報告件数の約36.5%を占めました。その他、国税庁・楽天+楽天カード・セゾンカード・えきねっとを騙るフィッシング詐欺の報告件数も多く、これらの報告件数を併せると全体の約74.9%にも上りました。
フィッシング詐欺の報告件数が年々増加している要因の一つとして挙げられるのが「新型コロナウィルス」です。世界的に新型コロナウィルスが感染拡大したことで多くの企業がテレワーク(在宅勤務)を導入し、インターネットサービスを利用する頻度が増えたことでAmazonや楽天などの有名企業や公的機関になりすましたフィッシング詐欺が急増しました。
< フィッシング詐欺の関連記事はこちら >
次に、巧妙化するフィッシング詐欺の手口についてご紹介します。
金融機関(銀行やクレジット会社)やショッピングサイトなど有名企業の名前を騙ったメールを送信し、偽サイトへ誘導させる手口です。件名に重要度を強調した「緊急」「重要」「セキュリティ」などのワードを取り入れ、文面に「カードの有効期限が切れました」「セキュリティ上の理由からアカウントがロックされました」など登録情報やアカウント状態を急いで確認する必要があるかのような内容のメールを送り付けることでユーザーの不安を煽ります。そしてメールに記載されたURLやリンクされた画像より偽サイトへ誘導し、パスワードなどのログイン情報やクレジットカード番号などの個人情報を入力させます。
メールアドレスではなく携帯電話番号宛てに偽サイトのURLを送る手口です。携帯電話の番号のみでメッセージを送受信するSMSメールの文面は、Eメールと比べ本物との見分けがつきにくく誤ってアクセスされやすい傾向にあるため近年被害が増加傾向にあります。また、万が一フィッシングSMSの被害に遭った場合ワンタイムパスワードも盗まれる可能性が高いです。
PCや携帯電話でインターネットを利用している際に突然画面上に「ウィルスに感染しています」などの緊急性を訴える偽警告メッセージや警告音を発生させることでユーザーの平常心を失わせ、記載された電話番号へ誘導し多額の支払い請求や個人情報を搾取する手口です。中には「〇〇に当選しました!」といったポジティブな言葉で誘導し、クレジットカード番号を入力させるケースもあります。
実在する金融機関やショッピングサイト、宅配業者などを装った偽サイトを作成し、公式サイトと勘違いしたユーザーにログイン情報やクレジットカード番号等を入力させる手口です。近年の偽サイトは公式サイトの画面をコピーして作成されていることが多く、正規URLの一部を変更してURLを作成するなど巧妙に作られています。
次に、実際にどのようなフィッシング詐欺の被害が発生しているのか実例を基にご紹介します。
【 ケース1 】
クレジットカード会社を騙り「情報が漏えいしています。対策方法として以下のホームページよりログインし、氏名・住所・カード情報・有効期限を入力してください。」などの文面に偽サイトのURLが添付されたメールが届き、ユーザーがアクセス後にログイン情報やカード情報を入力したことで情報が搾取されました。数か月後に見覚えのないクレジットカードの明細書が届いたことで被害が発覚しました。
【 ケース2 】
銀行を騙り「ネットバンキングシステムの変更に伴い、下記のホームページよりログインし口座番号・暗証番号を入力してください。」などの文面に偽サイトのURLが添付されたメールが届き、ユーザーがアクセス後にログイン情報や口座情報を入力したことで搾取されました。後日銀行口座の残高に違和感を抱いたユーザーが入出金明細を確認したところ見覚えのない出金が大量にあり被害が発覚しました。
【 ケース3 】
総務省を騙り「特別定額給付金(新型コロナウィルス感染症緊急経済対策関連)のオンライン申請」などの案内文と偽申込フォームのURLが添付されたメールが届き、ユーザーがアクセス後に個人情報やカード情報の入力・運転免許などの画像をアップデートするよう誘導する手口が確認されました。
宅配業者を騙り「荷物をお届けにあがりましたが不在のため持ち帰りました。下記よりご確認ください。」などの文面に偽サイトのURLが添付されたSMSメールが届き、ユーザーがアクセス後にログイン情報や個人情報を入力したことで情報が搾取されました。また、携帯会社を騙り「利用料金の未払い」「IDの一時停止」「決済の不正ログイン通知」などの文面に偽サイトのURLが添付されたSMSメールが届く事例もあります。
インターネットを利用している際に突如「セキュリティ上の理由でブロックされています。セキュリティセンターに連絡してください。」などの電話番号が記載されたメッセージの表示と警告音が鳴り、慌てたユーザーが記載された番号に電話すると偽オペレーターより「ウィルス感染が確認されました。遠隔操作でウィルスを除去するためサポート料金が発生します。」などと数万円の要求があり、クレジットカード情報の入力やコンビニなどで購入した電子マネーのカード番号を送るよう指示される事例が確認されました。中には「アドレス帳に登録されたアカウントにもウィルスがばら撒かれる可能性がある」などというメッセージを表示することでユーザーに平常心を失わせる事例もあります。
最後に、フィッシング詐欺の被害に遭わないための対策についてご紹介します。
心当たりのない内容や重要度を強調した内容のメールだけでなく、受信したメールはフィッシングメールの可能性があることを念頭に置きながら内容確認することが重要です。フィッシングメールは複数のユーザーに送信できるよう事前に文面のひな型が作られており、文脈など不自然な日本語が使われていることが多いです。また、正規とは異なるURLが添付されているなど不審な点が多々あるため、たとえ緊急性の高い内容であっても添付されたURLを慌ててクリックせず、落ち着いて確認した上で公式サイトより問い合わせるなど冷静に対応しましょう。
偽サイトのURLは正規URLの一部を変更する・異なるドメインを使用するなどして似せて作られているため見分けることが困難です。そのためよく利用するサービスの公式サイトはあらかじめブックマークに登録し、利用する際は都度ブックマークからアクセスしましょう。
偽サイトに誘導した上で不正アプリをインストールさせて情報を搾取する手口もあります。そのためアプリをインストールする際は必ずGoogle playストアなど正規のアプリ配信サイトより入手しましょう。また、「提供元不明のアプリ」と表示された場合はアプリのインストールを中止しましょう。
日頃から注意を払っていても「うっかりURLをクリックしてしまった」という可能性は十分にあります。被害に遭う確率を下げるために、フィッシングメールなど危険が疑われるメールを除外するアンチスパムのサービスやWebフィルタリング・アンチウィルス・ファイアウォールなど様々な機能をまとめたUTMなどのセキュリティサービスや機器の導入を推奨します。
2段階認証は従来のパスワードを入力後、登録した電話番号やメールアドレスに送付された認証コードを入力して認証する方法です。近年では有効期限が発行より30分間で一度しか利用できない「ワンタイムパスワード」を導入している金融機関や携帯会社など増えています。2段階認証により本人確認の精度が上がり、セキュリティを強化することができるため積極的に活用しましょう。
以上、フィッシング詐欺の報告件数・URL件数の増加数とフィッシング詐欺の手口についてご紹介しました。
― 急増するフィッシング詐欺の背景
― フィッシング詐欺の手口
― フィッシング詐欺の被害事例
― フィッシング詐欺への対策
前述のようにフィッシング詐欺の報告件数は年々増加傾向にあります。フィッシング詐欺の被害に遭わないためにフィッシング詐欺の危険性を念頭に入れ、日頃から対策することが重要です。受信したEメール・SMSメールに添付されたURLではなくブックマークより公式サイトにアクセスする・フィッシングメールが疑われるメールを除外するためのセキュリティサービス・機器を導入するなどのセキュリティ対策を行いましょう。
