熟練者も欺いた手口とは?
「フィッシング詐欺、こうして騙される、記者も釣られた」
2020年5月、全国紙の社会面に大きく掲載された記事のタイトルです。書いた記者は数年前まで警察を担当し、何度もこの種の詐欺事件を扱い、フィッシングの手口も熟知していたそうです。
スマートフォンに届いたメールの発信元は大手通販サイトのAmazon。アカウントの更新ができないことを理由に、個人情報の再入力を促す内容でした。メール本文の「Amazonログイン」のリンクから、ユーザーIDとパスワード、カード情報を入力した数日後、クレジットカード会社から決済状況を問い合わせる連絡があり、ここで初めて詐欺に気付くことになりました。
“偽メールからリンクをクリック、個人情報を入力”という流れは、典型的なフィッシング詐欺の手口で、20年近く前から繰り返し、セキュリティ分野の業界団体や企業から注意勧告が出されてきました。しかし、一般ユーザーよりずっと警戒心が強い人も欺くほど、最近の詐欺は巧妙化してきたようです。
この半年間で2.5倍に
偽のメールやSMS(Short Message Service)などを不特定多数の人に送り、偽装したサイトに誘い込んでアカウントやクレジットカードの情報を入力させるフィッシング(phishing)詐欺※。
※fishing(釣り)とsophisticated(洗練された)を組み合わせた造語とされています。
フィッシング対策協議会では、定期的にフィッシング詐欺に関する発生状況を発表しています。これによると2019年12月をピークにいったん減少傾向が見られたのですが、2020年2月に再び増加に転じ、特にここ数カ月は急増。2020年6月の報告件数は16,811件と、2019年12月の2.5倍以上に達しました。
フィッシング報告件数(出典:フィッシング対策協議会「2020/06 フィッシング報告状況」)
同時に発表された「フィッシングサイトのURL件数」も6月は大きく伸びて5,481件。2019年12月(2,178件)に比べ、これも約2.5倍に急増しています。
その一方、「フィッシングに悪用されたブランド件数」は大きな変化が見られず、6月は58ブランド。最多を記録した2019年12月の67ブランドから減少しました。
フィッシングに悪用されたブランド件数
(出典:フィッシング対策協議会「2020/06 フィッシング報告状況」)
直近の「ブランド件数」の内容ですが、Amazon、Apple、LINE、楽天の4ブランドを偽装するフィッシングが全体の約88%。特にAmazonが突出し、全体の約56%はAmazonを騙ったものでした。
傾向はコロナ禍を反映
詐欺行為はそのときどきの社会情勢に通じ、人々の不安を突いてきます。ここ数カ月の傾向は、新型コロナウイルスによる緊急事態宣言を反映したものと言えそうです。在宅の時間が増えた家庭では、ネットショッピングを使う機会が多くなったため、攻撃者はこの期を狙って行動を加速したと見ていいでしょう。
フィッシングの報告件数と偽サイトのURL件数が倍増した一方、詐欺に利用されたブランドの件数に大きな動きがないのは、著名なブランドであれば、不特定多数を狙った配信でも思い当たる人に届く確率が高いと見て、ここに集中してきたものと考えられます。
大都市を中心に感染が再び拡大し、第2波が懸念される7月以降も、外出を控える人は多いはずです。著名ブランドを騙るフィッシング詐欺の増加傾向は、しばらくは続くでしょう。他サイトへの誘導を含むメールやSMSには、これまで以上の注意が必要です。
2要素認証のガードも突破
ここ1~2年のフィッシング詐欺の傾向として、先鋭化と巧妙化が挙げられます。前者はフィッシング対策に使われる技術を突破しようとする手口の増加、そして巧妙化は画面の作り方と文言、送信のタイミングもますます洗練され、偽物と見破ることが難しくなっている点です。
まず先鋭化ですが、インターネットバンキングや決済サービスなどで使われる「2要素認証」を突破する手口が確立されてしまいました。2要素認証は、IDとパスワードに加えて、メールやSMSで通知するワンタイムパスワード(OTP)、専用のトークンというデバイスで発行する暗証番号などを併用する認証方式で、フィッシング対策の切り札の一つとして使われてきました。
2要素認証を突破する典型的な手口は以下の通りです。
1.金融機関を偽装したメールやSMSを配信
2.偽装したログイン画面で認証情報を搾取
3.攻撃者は、2.で取得した認証情報で正規サイトにログイン
4.偽装サイトでOTPの入力を促して取得
5.正規サイトでOTPが必要な手続きを実行
攻撃者が先に正規サイトに侵入する3.不正送金などの操作を実行する5.の段階は、犯行の成否を分ける山場で、「処理中」「しばらくお待ちください」などの画面を出して、巧みに時間稼ぎをします。
この攻撃がもっとも深刻な被害を出しているのは、インターネットバンキングにおける不正送金です。ネットバンキングの不正対策は、多くの金融機関が2要素認証を採り入れ、利用状況のモニターを強化したことで、発生件数は抑えられていましたが、2019年9月を境に件数と被害額が急増しました。この時期に集中したニュースや金融機関からの注意勧告を見ると、2要素認証の突破が主因となった可能性が極めて高いと考えていいでしょう。
フィッシングとみられるインターネットバンキングに関わる不正送金事件の発生状況
(出典:警察庁サイバー犯罪対策プロジェクト)
スミッシングとURLの偽装も進化
もう一つの傾向の巧妙化ですが、配信方法、画面デザインとURLの偽装などで、ユーザーを欺く手口がより洗練されてきたことです。
その一つはSMSの利用。文字しか使えないSMSは、画像の貼り付けもできるメールに比べ偽装がやりにくく、比較的安全と思われてきました。2要素認証でもSMSを使ったOTPの送信が広く行なわれおり、ユーザーもメールほどの警戒心は懐きません。「スミッシング」(SMSとphishingを組合せた造語)は、ユーザーの安全意識の盲点を突いたものです。
URLの偽装も巧妙になりました。例えば、「https://www.amazon.co.jp.xxxxx」(xxxxxの部分に偽サイトの文字が並ぶURL)のような、本物のURLを生かして細工した例。PCは比較的見破りやすいのですが、画面が狭いスマートフォンでは気付かないこともあるでしょう。リンクを長押しするとすべての文字が表示される機能が搭載された機種もありますが、すべての製品が対応しているわけではありません。
また、以前は「http」ではなく暗号化に対応した「https」、日本の組織を示す「.jp」は信頼の証の一つでしたが、今はhttps対応の偽サイトも増え、ドメインの偽装もそれほど難しくはないため安心は禁物です。
ここ1~2年は、企業のキャンペーンに便乗した詐欺も多発しているようです。プレゼントの当選を伝える偽メールに記したURLから個人情報を入力させるような手口が多く、2019年12月には、大手生活用品メーカーのキャンペーンサイトから、クレジットカード情報が搾取される深刻な事件が起きました。
臨時で開設されるキャンペーンサイトは、正式な企業名とキャンペーン名などを組み合せてURLが生成されることが多く、これを真似て作られた偽装サイトは、URLフィルタリングのようなツールが稼動していても、不正リンクとして検出できないケースがあるため注意が必要です。
対策は基本の実行と最新情報のチェック
フィッシング詐欺への防御策は大きく二つに集約されます。以前から啓発が行なわれている基本ルールの徹底と、利用している金融機関や決済サービス、ECサイトなどが発信する情報の定期的なチェックです。
1.基本ルールの実践
・メッセージの内容をよく確認し、URLは安易にクリックしない
・少しでも怪しいと思ったメールとSMSは開封しない
・表示されたURLをアドレスバーで確認する
・金融機関やECへのアクセスは、正しいサイトをブックマークに登録しブックマークから
・PCやスマートフォンのセキュリティソフトは最新版に
・少しでも不審な点があれば、事業者に問い合わせる
いくつか補足すると、まず金融機関はパスワードなどの認証情報や個人情報をメール、SMSで問い合わせることはありません。この種のメッセージは無視することです。
特にSMSの場合、マルウェアの貼付や画像を使った細工ができないため、騙す方法は“偽のURLをクリックさせる”しかはありません。対策は“クリックしない”に絞られるのです。もしクリックしてしまった場合でも、何も入力していなければ被害は生じませんから、落ち着いてURLを確認し、その画面を閉じましょう。
2.定期的に最新情報をチェック
二つ目の対策は、フィッシング詐欺の実態を知っておくこと。特に不正送金に直結するインターネットバンキングでは、偽メールの配信や被害が確認された際は、必ず金融機関から注意勧告が出ます。常用している金融機関、クレジットカード会社、ECサイトなどは、ブックマークに登録して直接アクセスすることに加えて、定期的にニュースや情報サイトを見て予防できるようにしましょう。