今や、我々の生活に欠かすことのできない存在がインターネットです。必要な情報はいつでも簡単に検索でき、ネット上でショッピングを楽しんだり、さまざまな取引を行ったりすることもできます。最近ではフリマアプリに代表されるCtoC(消費者対消費者)市場も拡大し、消費者同士の直接的な商品売買も行われています。
こうしたネット上での売買のために多くのユーザーは、クレジットカード情報を入力、利用しています。頻繁に利用するショッピングサイトにはクレジットカード情報を登録しているという方も多いでしょう。
このように私たちは高い利便性を手に入れた一方で、新たなリスクを背負うことになりました。それが「フィッシング詐欺」によってクレジットカード情報を搾取され、悪用されてしまうというリスクです。
本稿では、依然として被害件数・被害金額が多いフィッシング詐欺について、その概要と対策について解説していきます。
フィッシング詐欺ってなに?
コンピューターウイルスやマルウェアの感染を防ぐため、様々なセキュリティ対策が各組織で行われています。
一般的には、ウイルス対策ソフトを端末にインストールする、信用性の低いソフトウェアやアプリケーションを禁止する、安全性の低いWebサイトへのアクセスを制御するなどが挙げられます。
これらのセキュリティ対策に対して注力的に取り組む組織が多い一方で、フィッシング詐欺への対策に力を入れて取り組む組織はまだまだ少ないのが現状です。
フィッシング詐欺はシステムの脆弱性などを突くサイバー攻撃と異なり、「明確」に「意思」を持って「ユーザ」を騙すために行われる攻撃です。 正規のショッピングサイトやサービスサイトを装い、ユーザーのクレジットカード情報やログイン情報をユーザー自身に入力させることで、その情報を搾取します。
もしクレジットカードの情報が他人に渡ってしまった場合、 ネットショッピングでの買い物はもちろん、ネットバンキングによる不正送金被害も想定されます。
組織内で利用するクラウドサービスのログイン情報が悪用されることでその組織の機密情報も漏洩する可能性もあります。
またクレジットカードの再発行、登録サービスの紐づけ直しなども発生するため、非常に大きなインパクトを与えます。
フィッシング詐欺の手口
フィッシング詐欺が未だに無くならない理由の1つが、年々詐欺の手口が多様化・高度化・巧妙化していることにあります。特にこの1,2年のAI技術の急速な発展に伴い、AIを悪用した巧妙なフィッシングメール被害が増加しています。
では、フィッシング詐欺はどのような手口で実行されるものなのでしょうか?
- フィッシングメール
フィッシング詐欺の手口として最も多いのがメールを始めとしたコミュニケーションツールを利用したものです。LINEやFacebook、Instagramを始めとしたSNSのメッセージ機能なども利用されており単に電子メールを利用したものだけでなく、さまざまな機能やチャネルを活用し、時代の変化に合わせた手口を繰り広げます。- 設定確認型
追加の設定が必要と促し、アカウント情報を窃取します。
「近年、情報漏えい事件が多発していることを受け、新たなセキュリティ機能を導入しました。従いまして、下記のリンクから多要素認証の設定を願い致します。」のような正規のシステムメールを装い、フィッシングサイトのログインフォームに正規のログイン情報を入力させ、情報の搾取を試みます。 - アカウントロック型
パスワードの再設定を装いパスワードを窃取します。
「当サービスにおいてお客様のアカウントに第三者からのアクセスを確認しました。暫定的にアカウント情報を変更し、対処しております。サービスの利用につきましては、下記リンクよりパスワードの再設定を行っていただきますようお願い致します。」のような緊急のアカウントロック通知を装うケースも多数被害報告があります。他にも「アカウント情報に誤りがある」「プロダクトキーが不正利用されている」といった通知を装う事例も確認されています。 - 購入確認型
ショッピングサイトでの購入確認メールを装うケースも確認されています。本文のURLがフィッシングサイトに誘導されるような仕組みとなっており、身に覚えがない購入に対して利用者が購入商品を確認しようとアクセスし、フィッシングサイトであることに気づかずに正規のログイン情報を入力してしまうことで情報が搾取されます。「心当たりがない方はこちらからキャンセル願います。」などの表記を利用し、URLへのアクセスを誘導するケースも多いです。
- 設定確認型
- 本物同様にサイトに誘導する
フィッシングメールと合わせて利用されることが多い手法として、本物のサイトに似せたフィッシングサイトを利用するケースがあります。WebサイトのURLを限りなく本物サイトに近づけ、サイトの内容も本物とまったく同じように作ります。実は、Webページを丸ごとコピーするということはさほど難しくないため、本物そっくりなサイトを作ることは比較的容易です。そして、偽サイト上で入力した情報はすべてサイバー犯罪者に搾取されてしまいます。フィッシングメール以外には、SNSやまとめサイト内のリンクなど不特定多数が匿名で投稿できるような情報サイトで頻繁にみられる手口の1つです。
<フィッシング詐欺サイトの一例>
・ 銀行サイトやクラウドサービス、ソーシャルメディアの偽ログインページ
・ 宅配業者の配達通知の偽サイト
・ 政府機関や税務署を装った偽サイト - セッションハイジャック
セッションハイジャックとはサイバー攻撃の一種であり、ショッピングサイトやサービスサイトのWebサーバーと端末が通信している際に、通信の合間に入り込んで「セッション」を乗っ取る(ハイジャックする)ものです。セッションハイジャックが行われると、非常に自然な状態で偽サイトに誘導されてしまい、入力したアカウント情報を搾取されてしまいます。
フィッシング詐欺に引っかからないためには?
フィッシング詐欺は「詐欺」の一種です。メールによる被害が多く、フィッシングメールの本文を確認することで、疑わしいポイントを発見できる可能性があります。個人でできるフィッシング詐欺への対策としては、そうした疑わしいポイントを見極め、詐欺に引っかからないことが大切です。
- メールの宛先、件名を確認する
- メールの送信元を確認する
- おかしな日本語が使われていないか確認する
- メール内の入力エリアは無視する
- 同様の情報があるかWebサイトで確認する
- リンクのURLを確認する
- URLのハイパーリンクが別サイトになっていないかを確認する
- 普段と違ったページにアクセスしていないか確認する
以上のポイントを踏まえて、受信したメールやアクセスしたページがフィッシング詐欺ではないかをどうかを見極めていきましょう。
なお、筆者の一番お勧めするフィッシングメール対策は、メール本文に記載されたリンクを利用しないことです。あらかじめブラウザなどに登録したブックマークから、確実に正規のサイトやサービスにアクセスを行い、正規サイト側からメール通知された内容を確認することを徹底することで、ほとんどのフィッシング詐欺は防ぐことが可能でしょう。
[SMART_CONTENT]NVCが提供する組織としてのフィッシング詐欺対策!
フィッシング詐欺対策として組織で実施できる対策にはどのようなものがあるでしょうか。NVCではフィッシングメールを防ぐ専門ソリューションを提供しています。いくつか紹介しましょう。
Fortinet─FortiGate/FortiMail
FortinetのFortiGateは、UTM(統合脅威管理システム)として世界No.1シェアのセキュリティシステムであり、フィッシング詐欺を効果的に防ぐための機能が揃っています。メール経由での攻撃はもちろん、Webフィルタリングによってアクセスするサイトの安全性をFortiMailやFortiGateで防ぎます。
Trellix(旧Fire Eye)─Cloud Email Security(旧ETP)
Trellix(旧FireEye)のCloud Email Security(旧ETP)は、Webサイトを詐称したメールや、取引先を装ったメールをネットワークの入り口で検知し攻撃を防ぐ、クラウドベースの Eメールセキュリティ製品です。
サンドボックス製品で培った技術と知識により、豊富なファイルタイプに対応。「ニューラルネットワーク」の技術や、精度の高い検知・解析機能により、フィッシングメールの擦り抜けと被害を防ぎます。
フィッシング詐欺対策や、製品詳細についてご不明点やご質問がありましたらぜひお気軽にお問い合わせください。
この記事に関するサービスのご紹介
