フィッシング詐欺は攻撃者にとって、シンプルな手法で大きな成果を上げられる可能性があるため、手口の巧妙化や悪質化が進んでいる。私たちユーザーのデジタルライフを脅かす存在であるフィッシング詐欺について、最新の動向や手口の変遷、そしてどのような対策を講じるべきかを解説する。
フィッシング詐欺とは
インターネットを使ったさまざまな詐欺行為が存在するが、フィッシング詐欺は最も普及している一般的なものだろう。有名なECサイトや銀行になりすましてメールなどをユーザーに送り付け、本文に記載されているURLのクリックを促す。まるで本物そっくりの偽サイトに誘導した後は、パスワードやカード番号、個人情報を入力させ、これらの情報をそのまま詐取する。あらかじめ、本物に偽装したサイトを作成しておき、それを餌として獲物を釣るようにサイトへ誘導することからフィッシング詐欺と呼ばれるようになったとも言われる。
フィッシング詐欺自体は一般的に行われており、その危険性は以前より知られている。しかし、フィッシング詐欺は減るどころかその被害は拡大している。フィッシング対策協議会の「2021/08 フィッシング報告状況」によると、2021年8月のフィッシング報告件数は5万件を超えており、前年同期比で2倍以上となっている。
その要因として、コロナ禍における人々の不安な心理を突くものが増えていることがある。また、フィッシング詐欺自体も巧妙化していることが挙げられる。ユーザーに送り付けるメールは、自然な日本語で「アカウント情報の変更依頼」を要求してくるなど、ニセモノと見極めるのは困難な場合が少なくない。偽サイトは本物そっくりで、ユーザーは疑うことなくパスワードやカード番号を入力してしまう。従来のメールを使ったものだけでなく、さまざまなコミュニケーション手段を悪用するケースも出てきているため、ユーザーとしては攻撃手法についての理解を深め、巧妙化するフィッシング詐欺に備える必要がある。
メールだけではないフィッシング詐欺の手法とは
フィッシング詐欺は、攻撃者が準備している偽サイトに誘導させることで成立する。誘導させる方法として、一般的にはメールが使われることが多いものの、普及が進むSNSやスマートフォン(以下、スマホ)を用いた、より効果的な手法がとられるようになってきた。以下、さまざまなフィッシング詐欺の手法について紹介する。
SMSを使ったスミッシング詐欺
電話番号を使ったメッセージング手段であるSMS(ショートメッセージサービス)を使ったフィッシング詐欺がスミッシングだ。SMSとフィッシングを掛け合わせた造語であるスミッシングでは、攻撃者はランダムに攻撃が可能だ。携帯電話番号さえわかれば、フィッシングサイトに誘導するメッセージを送信することができるためだ。最近では、配送業者からの不在連絡や、ネットショップにおける不正ログイン検知を騙るスミッシング詐欺が多発。発信元を正規の事業者のように装い、偽サイトに誘導する手口も増えているので注意が必要だ。
音声を使ったビッシング詐欺
特定の機関になりすまして電話をかけたり、フィッシングメールなどに記載の番号に電話をかけさせたりするのがビッシング詐欺だ。銀行・ベンダー・政府・ITヘルプデスクといった信頼できる組織・機関になりすますことが多い。電話がつながったら、言葉巧みにユーザー心理を操り、あらかじめ準備してあるフィッシングサイトへと誘導する。電話の方がメールなどのメッセージよりもリアルタイム性が強く、切迫感や恐怖感を煽りやすいため危険性も高いと言える。
実在の企業や組織に偽装するファーミング詐欺
ユーザーがWebブラウザーに直接URLを入力、あるいはブックマークからサイトにアクセスしたにも関わらず、偽のフィッシングサイトへ誘導するのがファーミング詐欺だ。ユーザーは偽のサイトへと誘導されたことをほぼ認識できないため、非常に巧妙で悪質なフィッシング詐欺の進化系とも言えるだろう。ファーミング詐欺は、標的とするユーザーのパソコンをマルウェアに感染させたり不正に侵入したりして、hostsファイルやDNSサーバーのキャッシュを書き換えることで実現する。この手法が用いられると、Googleの検索結果からアクセスした場合でもフィッシングサイトに誘導されてしまうことになる。
SNSの乗っ取り
攻撃者はブルートフォース攻撃などを用いて、IDとパスワードさえ入手できれば、容易にSNSのアカウントを乗っ取ることができる。言わば個人情報の倉庫とも呼べるような存在であるSNSが乗っ取られてしまうと、単なるプライバシー侵害を超えて、極めて危険な状況となりかねない。
SNSを乗っ取るための手段としてフィッシング詐欺が使われることもある。フィッシングサイトと知らずに、IDとパスワードを入力し、これを窃取されSNSが乗っ取られるのだ。多くのSNSに備わるメッセージング機能を悪用し、不特定多数のユーザーをフィッシングサイトへと誘導する手口も相次いでいる。SNSが主要なコミュニケーションツールとしての地位を確立するのと併せて、今後もSNSを標的としたフィッシング詐欺は増加する可能性が高い。
巧妙化するフィッシング詐欺への対応策
フィッシング詐欺は、攻撃者にとって不特定多数のユーザーを標的とし、大量の個人情報やカード番号を入手しやすい手法である。手口は巧妙化しているものの、仕組みが単純なだけにユーザーの心掛けや対策次第でフィッシング詐欺の被害は大きく低減できる。
攻撃者の手口を把握する
日々進化を遂げるフィッシング詐欺は、今後も新しい技術などを組み合わせ、より巧妙な手口が開発されることだろう。直近では、メール以外のSMSや音声、SNSを使ったフィッシング詐欺の進化系についても理解を深めるようにしたい。先述のとおり、手口は日々新しく変わっていく。しかし、ほとんどのものはそれまでに行われてきた手口をアップデートしたものに過ぎない。典型的な詐欺手法をあらかじめ把握しておくと、フィッシング詐欺を含めたネット詐欺を回避できる可能性は高まるはずだ。
メッセージ内のURLはクリックしない
フィッシング詐欺はフィッシングサイトが入り口となるものがほとんどだ。裏を返せば、そうしたサイトへのアクセスを防げれば、被害に遭遇する可能性は限りなく低くなる。そのためにユーザーとしては、日々メールやSMS、SNSなどで送付されてくるURLは極力クリックしないことだ。ただ、現実的にクリックしないというのは難しい。アクセスする際には、URLに記載されているドメイン名や送信元などをしっかりとチェックしてからという習慣を身につけるようにしたい。
セキュリティソフトを導入する
メールの場合、送信元の偽装やHTMLメール形式を用いてURLを正規のものに偽装しているケースも少なくない。しかし、こういった場合、一般的なITの知識では見抜くことが難しい。かと言って、都度専門家に相談するというのも現実的ではない。
セキュリティソフトの多くは、フィッシング詐欺を目的としたメールを除外するフィルタリング機能を備えており、そもそもユーザーの受信フォルダに届く可能性を低減できる。また、ユーザーがフィッシングサイトと疑われるサイトへアクセスしようとした際にブロックする機能を有するものもある。例えば、ESET個人向け製品では、フィッシング対策としてこれらの機能を備えている。ESETのフィッシング対策機能はパソコンだけでなく、Androidスマホやタブレットでも利用できる。ただし、セキュリティソフトを導入すれば万全というものでもなく、ユーザーとしては常に注意を払う必要があるのは言うまでもない。
進化するフィッシング詐欺に応じて対策も進化させる
今なおフィッシング詐欺の被害が相次いでいる。これほどまでに危険性が叫ばれながらも一向に被害が減らないという現実に、私たちユーザー自身も向き合う必要があるのではないだろうか。国内を見渡すと、連日各地で何かしら詐欺について報道されている。確かに、海外と比べると日本は一般的な犯罪の件数は少ないのかもしれない。しかし、インターネットは世界と接続することが前提のため、国内で閉じていた時代とは対応も状況に応じて変える必要性があるとは言えないだろうか。
今後も、インターネットを利用したさまざまなサービスに偽装した、巧妙なフィッシング詐欺が生まれてくることだろう。ユーザーとしては、適切に対策を講じることに加え、常に危険と隣り合わせであるという認識を持つことを心掛けてほしい。
