LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

テクニカルレポート | 

『フィッシングレポート2022』からたどる対策、国税庁、経産省、英国の光熱費も攻撃ターゲットに

フィッシングの被害が拡大しています。フィッシングとは、さまざまなサービスのふりをしたメールで本物そっくりの「フィッシングサイト」に誘導し、サービスへのログイン情報(IDとパスワードなど)を盗み出そうとするサイバー攻撃です。ITではなく人をだまそうとする攻撃なので、システムでの対応が難しいのが特徴です。最近猛威を振るっているマルウェア「Emotet」も、フィッシングの手法を採り入れています。

2022年6月、フィッシング対策協議会が「フィッシングレポート 2022」を公開しました。これによると、2021年のフィッシング情報の届け出件数は、前年と比較して著しく増加しました。フィッシングに悪用されたブランドの数も大幅な増加傾向にあり、ECサイト大手、クレジットカード会社などのなりすまし送信が多く報告されています。

従来のフィッシング攻撃は、世界的なイベントに合わせて増加していました。その目的はログイン情報の窃取ではなく、チケットや動画の偽サイトへの誘導でした。サイバー犯罪者は、直接金銭を得ようとしていたわけです。そのため、オリンピックやワールドカップの開催に合わせてフィッシング攻撃が増加していたのです。

それが近年、ログイン情報を窃取しようとするフィッシング攻撃が中心になりました。イベントごとにフィッシング攻撃を行うよりも、サービスのログイン情報を入手した方が、メリットがあります。犯罪者が本人になりすましてサービスにログインし、不正に利用するだけでなく、入手したログイン情報を販売することもできます。

さらに、パスワードを使い回すユーザーが多いため、入手したログイン情報を別のサービスで試すとログインできてしまうケースもあります。このため、犯罪者間でもログイン情報は価値があるのです。最近では、スマートフォンのユーザーが増加したことで、スマートフォンを想定したフィッシング攻撃が増えています。スマートフォンは画面の表示がPCよりも小さいため、メールの送信者などをすぐに確認することが難しいためです。

フィッシング情報の届出件数は増加の一途をたどっている(フィッシング対策協議会)
フィッシング情報の届出件数は増加の一途をたどっている(フィッシング対策協議会)

フィッシングに悪用されるブランドが拡大

2021年のフィッシングの急増は、オリンピックの開催に加えて新型コロナウイルスのパンデミックも影響していると考えられます。サイバー犯罪者は日頃から経済、社会状況を観察していると考えられ、新たなサービスに敏感に反応して攻撃を行います。コロナ禍においては、ワクチン接種や特別定額給付金などのフィッシングも増加しました。

このように、フィッシングに悪用されるブランドが多岐にわたっていることも、最近の特徴と言えます。数年前は、主要ECサイトや、クレジットカード会社など5ブランドが高い割合を占めていました。しかし最近は多様化が進んでいます。銀行は大手から地方銀行に拡大し、カード関連では大手クレジットカードも悪用されています。

これらに加え、政府機関をかたるフィッシングも多く確認されています。例えば、2022年8月には、経済産業省 資源エネルギー庁をかたり、電力需給に関連して個人情報やクレジットカード情報等の入力を促すフィッシングメールとフィッシングサイトに関する報告を受けているとして、経済産業省が注意喚起を発表しています。電力需給ひっ迫注意報が発令されていることを受けて、電気を合理的に配分するために情報化改造を行う必要があり、検査したところ情報が不正確であったとして、クレジットカード情報を含む個人情報を入力させようとするものでした。このフィッシングもコロナ禍と同様に、犯罪者が社会状況を把握していることがうかがえます。

経済産業省をかたるフィッシングメールとフィッシングサイトにご注意下さい (METI/経済産業省)

また、2022年9月には、国税庁をかたるフィッシングも確認されました。「税務署からのお知らせ【申告に関するお知らせ】」という件名のメールで、国税庁からe-Taxを使い始めるための最初の数ステップを説明したメールが送られ、そのリンク先はフィッシングサイトになっており、アカウント情報やクレジットカード情報の窃取を目的としていました。

国税庁は「税務署をかたる不審メールにご注意ください。」と呼び掛けている(出典:国税庁ウェブサイト)

この状況は海外でも同様で、例えば英国では国内の主要なエネルギー会社の名をかたるフィッシングが、2022年1~3月期に前年同期比で10%増加しています。新聞によると、この背景には英国における光熱費の上昇があると分析しています。手口としては、請求金額に間違いがあったため、返金手続きに応じるよう求めるものが多く、英政府による総額150億ポンドの光熱費補助を悪用したフィッシングも確認されたといいます。

フィッシングにだまされないためには

フィッシングは、メールの受信者を不安にさせるようなメールを送ってきます。例えば、数万円の商品の購入確認メールや、まったく身に覚えのない場所でのログイン確認などがあります。前者であれば、メールにある「解約はこちら」をあわててクリックしてしまいがちです。このように、人間の心理に訴えかけることにより、リンクをクリックさせようとします。

Emotetでは、感染したユーザーのPCからメール情報を盗み出し、次のメールに使用します。このため文面の日本語に怪しさがなく、クリックさせる可能性を高めています。犯罪者は社会情勢にも敏感なため、そこにつけ込んでくるフィッシングも増加しています。

フィッシング対策には、基本的に統合セキュリティ対策が有効です。送信者や文面では見分けることが難しいため、ウイルス対策機能では防ぐことが難しくなっています。しかし、URLフィルタリングやIPフィルタングが搭載されている場合は、リンク先が安全かどうかを判断してくれます。ただし、犯罪者はURLやIPアドレスを定期的に変更するため、フィルタリング機能が追いつかないケースも出てきています。

メールにおける「送信ドメイン認証」も注目を集めています。これにはSPF(Sender Policy Framework)やDKIM(DomainKeys Identified Mail)、DMARC(Domain-based Message Authentication, Reporting, and Conformance)などがあります。さらに最近では、メールに認証されたロゴを表示するBIMI(Brand Indicators for Message Identification)とVMC(Verified Mark Certificates)などもあります。これらが普及すれば、容易にフィッシングメールを見分けることができます。

現時点ではユーザー自身に判断が委ねられている状況であるため、フィッシングに対する意識を高めることが必要です。件名や本文に惑わされず、まずは文面の冒頭にあるユーザー名を確認することが必要だと言えます。正規のサービスからのメールは、ユーザーの本名が記載されますが、フィッシングメールはメールアドレスを使います。また、多くのフィッシングメールは「親愛なる」など一般的ではない言葉を使用したり、日本語に違和感があったりします。

フィッシングに対しては、セキュリティ対策を過信しないことが重要です。メールに違和感がある場合には本文のリンクをクリックせず、ブラウザやアプリでサービスにアクセスし、同じ情報があるかどうかを確認しましょう。読み手を焦らせる内容であるほど、冷静に対処することが大切です。

より詳しく知るにはこちら

より詳しく知るにはこちら

デジタル金融サービスの利用者の増加に伴って、これを標的とした金融犯罪の脅威が高まり、金融機関にとって大きな課題となっています。金融犯罪対策コンサルティングでは、お客様が金融犯罪に対抗・対処するための支援を提供します。

プロフィール

吉澤 亨史(ITジャーナリスト)

吉澤 亨史(ITジャーナリスト)
1996年にフリーランスライターとして独立。セキュリティ、エンタープライズITを中心に、ソフトウェア、PCなど幅広い分野で取材活動に従事する。雑誌やウェブメディアを中心に特集記事、ニュース、コラムなどを執筆している。

この記事は役に立ちましたか?

はい いいえ