拡大を続けるフィッシング詐欺の脅威と、サービス提供者に求められる対策

初めまして、金融犯罪対策センター（Financial Crime Control Center：以下、FC3）の佐野です。

フィッシングによる被害が近年急激に増加し、大きな脅威となっています。フィッシングとは、犯罪者が企業や組織を騙り、住所・電話番号等の個人情報やユーザID・パスワード等の認証情報を詐取しようとする詐欺です。私たちFC3は国内の金融犯罪被害の抑止のために活動しており、被害の拡大が続くフィッシング詐欺についても情報を収集しています。

本記事では、個人のサービス利用者を標的とした国内フィッシング詐欺の現状から高度化した新たな手口、そしてサービス提供者に求められる対策について解説します。

フィッシングの現状

フィッシングの発生状況

近年、フィッシングの報告件数が急増しています。以下の図はフィッシング対策協議会に寄せられたフィッシングの報告件数の推移を示したグラフです。

2020年上半期には66,664件であったフィッシング報告件数が2022年上半期では450,087件に達しています。つまり2年間で約6.8倍にまで増加しており、フィッシングの脅威がさらに高まっています。

標的にされている業種の変遷

フィッシングの標的にされた業種は多数存在しており、これまでの変遷を見てみましょう。以下の図は、JPCERT コーディネーションセンターより公表された、フィッシングサイトの標的としている業種別の割合の推移を、2年ごと（2017年、2019年、2021年）に比較したグラフです。

2017年にはSNSや通信事業者を騙ったフィッシングサイトが多く確認されていましたが、2019年になるとSNSを騙るフィッシングの割合が減少し、金融系のフィッシングサイト、特にクレジットカード会社を騙るフィッシングサイトが増加しています。2021年にはECサイトを騙るフィッシングサイトが増加し、金融系、通信事業者と合わせて全体の80%以上を占めるようになります。また、国税庁や水道局など正規サイトにアカウント情報（IDやパスワード）が存在しないサイトを騙るフィッシングサイトも発生しています。

フィッシングサイトのURLについて

犯罪者はフィッシングサイトのURLに、利用者の見間違い（例："lac[.]co[.]jp"を"1ac[.]co[.]jp"など）を期待したURLを使用するなど様々な手口を用いています。近年はブランドのドメイン名と利用者が安心してサイトを閲覧するような単語（"secure"や"login"など）を組み合わせ、フィッシングサイトのURLを生成する、コンボスクワッティングと呼ばれる手口が流行しています。ほかにもURLの多言語対応を悪用しURLの一部や全体を英語に類似した文字に置き換え、正規サイトのものと酷似したフィッシングサイトのURLを生成する（例："lac[.]co[.]jp"と"lαc[.]co[.]jp"）など対策をすり抜けるような新しい手口が発生しています。

詐取情報

次の表はフィッシング対策協議会の注意喚起より、詐取しようとしている情報をまとめたものです（2022年8～9月に注意喚起されたフィッシングサイトより作成）。

様々なブランドがフィッシングサイトの標的にされていますが、多くのフィッシングサイトはクレジットカード情報の詐取を目的としたものです。ほかにも個人情報なども詐取しようとしており、身分証明書の偽造を基にした犯罪や、他の詐欺行為の連絡経路として悪用される恐れがあります。

高度化を続けるフィッシング詐欺の手口

フィッシングの現状は上述の通りですが、近年、犯罪者は以下に記載しているような高度化した手口を用いており、さらなる被害拡大が懸念されています。

多要素認証を突破するリアルタイムフィッシング・AiTM

現在、フィッシングでID・パスワードなどの情報を詐取されても犯罪者によって突破されないように、スマートフォンのアプリ等で認証を実施する多要素認証が推奨されています。一方で、これら多要素認証を突破するような犯罪手口も新たに発生しているのが現状です。

たとえば、リアルタイムフィッシングと呼ばれる手口では、利用者がフィッシングサイトに情報を入力している裏側で犯罪者が正規サイトに不正ログインして操作を行い、ワンタイムパスワード^※などを用いた多要素認証を突破しています。また、AiTM（Adversary in The Middle）と呼ばれる手口では、フィッシングサイトがプロキシサーバのような働きを行い、正規サイトと利用者の通信を中継することで認証情報を詐取し、多要素認証を突破します。

※ ワンタイムパスワードとは、一定時間ごとに更新され、一度しか使えないパスワード。リアルタイムフィッシングでは犯罪者が利用者のフィッシングサイト入力と並行して操作を行うため、有効なワンタイムパスワードの詐取が可能。

AiTMついては、過去LAC WACH記事もご参照ください。

このように、従来のセキュリティ対策を突破する新たな犯罪手口が確認されています。

フィッシング対策を突破する配信手口と多様な配信経路

フィッシング詐欺の主な誘導手段であるEメールには「DMARC」と呼ばれる対策が存在し、SMSでは大手キャリア等がフィルタリングで対策を実施しています。しかし、犯罪者も対策をすり抜けるような手口でフィッシングサイトのURLを散布しており、いたちごっこになっているのが現状です。

また、対策が十分ではない経路を用いたフィッシング等も確認されており、配信経路の傾向が変化しています。例として以下の3つの手口を紹介します。

• SNS（ソーシャル・ネットワーキング・サービス）で特定企業の公式アカウントになりすまし、利用者に配信した個別メッセージからフィッシングサイトに誘導する
• オークションサイトにて、落札後の取引メッセージ内でフィッシングサイトのURLを配信する
• 動画配信サイトにてスポーツ大会の公式アカウントになりすまし、動画の配信を行うサイトと称してフィッシングサイトへ誘導する

犯罪者は様々な経路を用いてフィッシングサイトへ誘導しようとしています。現実的には、これらの多様な経路を全てカバーするのは困難です。

推奨されている対策

上述の通り、様々な手口や経路を用いたフィッシングが確認されており、サービス提供者として顧客の被害拡大を防ぐために有効な対策を講じる必要があります。本項では、推奨されている4つの対策について解説します。

利用者に送信するメールには「なりすましメール対策」を施す

近年では、フィッシングサイトのURLをSMSで配信するケースが増加していますが、メールで配信するケースも依然として多く存在します。特に正規のメールになりすました「なりすましメール」が多く、中には正規のメールアドレスと同一のアドレスから送信されたように偽装されたメールも存在します。この場合、なりすましメールの対策を実施することが有効です。たとえば、送信元が正規サイトと同一のメールアドレスに偽装されたメールに対しては、メール認証方式の「DMARC」を用いることにより対策が可能です。

高度な認証方式を採用する

サービスの利用者がフィッシングによってユーザIDやパスワード等を詐取された場合、サービスを不正利用されないためには、フィッシングでは詐取が難しい認証要素を取り入れた多要素認証を実施することが推奨されます。また、使用する認証方法によっては比較的容易に犯罪者によって突破されてしまう恐れがあるため、FIDO2など高度な認証方式を選定することが求められます。

フィッシングについて利用者に注意喚起を行う

フィッシングサイトの発生が確認された場合、被害拡大を防止するために利用者に向けて注意喚起を実施することが大切です。日ごろから、フィッシング詐欺への啓発活動を実施すると共に、フィッシングサイトの確認後、すみやかに注意喚起を行い、利用者が誤って情報を入力してしまう可能性を減らす取り組みを実施することが必要です。

異常取引検知の仕組みを導入する

上述した多要素認証等の対策を実施しても、犯罪者のフィッシング手口の高度化・巧妙化により、提供サービスへの不正アクセスや不正利用が行われてしまうリスクは残ります。認証の高度化等に加え、犯罪者がアクセスした際の端末情報やネットワーク情報、サイト内での操作内容等を基に不正な操作や取引を検知してアラートを発したり、追加認証の要求などの仕組みを導入したりすることで、被害の発生を防ぐことができます。

このような対策を実施することに加え、フィッシングサイトを早期に検知するための監視体制や被害発生や拡大などに備えた緊急時の対応を整備しておくことも重要といえるでしょう。

さいごに

近年、確認されているフィッシングはさらに高度化・巧妙化してきています。これに対して企業が取るべき対策は1つだけではなく、複数を組み合わせて多層的に策を講じることが重要です。FC3では、お客様が実施している対策についての評価やアドバイスなどを提供しており、お客様の不安を解消するためのサポートをしておりますので、お悩みやご相談がございましたらぜひお声掛けください。