fbpx

フィッシング詐欺とは?攻撃の手口や対処法を解説!

  • このエントリーをはてなブックマークに追加

フィッシング詐欺とは?

銀行やクレジットカード会社などになりすました犯罪者が企業や個人宛に偽装メールを送り、個人情報・機密情報・Webサイト上のアカウント情報などを盗み出すサイバー攻撃です。
犯罪者が特定のターゲットをメールで誘導する様子が釣り(fishing)を連想させ、偽サイトが精巧に作られ本物と区別がつかない洗練されている(sophisticated)様子から、フィッシング詐欺と名付けられました。

犯罪者は偽装メールの本文に偽サイトに誘導するリンクを貼り、個人情報やクレジットカード番号などの情報を入力させます。
従来はインターネットバンキングの口座情報取得の方法として使用されていましたが、近年オンラインショッピングを活用する割合が増加していることもあり、偽サイトを用意してのオンラインショッピング詐欺やオンラインショップを経営している企業からの情報漏洩を狙ったサイバー攻撃も増加傾向にあります。

フィッシング詐欺が増加している3つの理由とは?

オンラインショッピング・クレジットカードの利用機会増加や犯罪者の技術向上が挙げられます。

ネットショッピングを利用する割合が増加

総務省統計局が発表した調査によると、2020年1月には40%を超える程度だった割合が5月以降50%を超えていました。
また、三井住友カードの調査でも2020年4月~7月にかけてオンラインショッピングを利用したユーザーのうち、3人に1人の割合でオンラインショッピングの利用頻度が増えたと回答しています。

コロナウイルス感染拡大による在宅勤務の導入や店舗での対面購入への抵抗感から、オンラインショッピングを利用する方々が増加したと考えられます。
一方、犯罪者は自宅で過ごす人々が増えた現在の状況を利用して攻撃を加速させたことで、フィッシング詐欺への対策が不十分だった方々を中心にクレジットカードや銀行口座情報の盗取に成功しています。

高齢世帯にもクレジットカード使用が定着

総務省統計局が発表した調査によると、2019年は継続して20%代前半~中盤だった65歳以上の高齢世帯でのネットショッピングの利用率が、2020年5月に初めて3割を超えました。
また、三井住友カードの調査によると、高齢世帯のオンラインショッピングでの決済方法はクレジットカード使用率が95%と発表しています。

今後も身体の痛みを抱えていた外出が困難な方、日用品を購入するスーパーやドラッグストアなどまでの距離が家から遠い方にとってネットショッピングは便利なシステムなので、利用率が減少する確率は低いでしょう。
ただし、フィッシング詐欺への対処法や偽装メールの見分け方がわからない方を増やすことにもつながるため、一人ひとりが情報資産を守るために知識を習得することが大切です。

犯罪者の技術向上

ユーザーの不安心理を巧みに利用したメールの文面、アプリ・Webサイトの完成度の高さ、アカウント情報を盗むタイミングなど攻撃の種類や方法が洗練されており、気づかないうちに被害に遭っていたというパターンが目立っています。特にクレジットカード情報は請求書が来て初めて被害に気付くことも多く、ネットショッピングでクレジットカード決済を頻繁に利用している方は注意が必要です。

また、インターネットバンキングを利用している方は、ブラウザを犯人に乗っ取られる中間者攻撃とも呼ばれるMITB攻撃(Man-in-the-Browser)への対策が必要です。
操作画面からアカウント情報を盗取されるため、MITB攻撃専用ソフトの導入や取引内容を正当に証明するトランザクション認証などの対策を行う必要があります。

フィッシング詐欺の攻撃の手口とは?

スピアフィッシング、Emotet、スミッシング、MITB攻撃の特徴をそれぞれみていきます。

スピアフィッシング

特定のユーザーや企業をターゲットにした攻撃で友人や上司、取引先などを装って偽装メールを送ります。
メール本文にサイトへ誘導するリンクを貼っている場合や添付ファイルに個人情報を入力をさせる場合があります。
特徴としてはフィッシングメールよりも情報盗取の精度が高い攻撃であるということです。

フィッシングメールが不特定多数の人物をターゲットにしているのに対し、スピアフィッシングは特定の個人や企業に向けた攻撃を仕掛けるのが特徴です。
犯罪者はターゲットユーザーについて、SNSやソーシャル・エンジニアリングを用いてWebサイトのアカウント情報・勤務地・利用している銀行など様々な情報を集め、メールを送ります。
相手の個人情報を知らなければ出てこない人物名や企業名をが入っているため、相手の警戒心を和らげます。

そのため、ターゲットユーザーは本文に貼られた偽サイトへのクリックや情報入力を簡単にしてしまいます。
また、スピアフィッシングはその場ですぐに情報流出に気付かない場合が多いので、注意しなければなりません。

Emotet

2019年から感染被害が急増しているマルウェアです。
主にメールの添付ファイルに仕込まれており、PC内の機密情報盗取や他のデバイス機器への感染拡大を行います。

Emotetの特徴は非常に感染力が強く、他のマルウェアを感染させる呼び水の役割も果たしている点です。
自己増殖能力を持っておりワームと同様速いスピードで感染を拡大させるだけでなく、ワイパー型マルウェアやランサムウェアなど強力なマルウェアを呼び込みユーザーに深刻なダメージを与えます。

また、EmotetはRe:(返信)やFw(転送)といった社内の同僚や取引先とやりとりをしている錯覚を与え、Officeのマクロ機能を利用して感染を狙っています。
基本的にOfficeの初期設定でマクロ機能の有効化が設定されている場合は少なく、添付ファイルを開いてすぐにマルウェア感染することはありません。

犯罪者は「コンテンツの有効化」や「編集を有効にする」を相手にクリックさせるよう巧みに誘導し、マクロ機能を許可させます。
添付ファイルを開いて内容に違和感を覚える場合や信頼性に欠けると思った場合は、「コンテンツの有効化」をクリックしないようにしましょう。
また、取引先や同僚にメールの内容が正しいか確認してから作業を行うのも一つの選択肢です。

Emotetが仕込まれたメールの特徴

  • ReやFWなど実際のやりとりを感じさせる雰囲気
  • 請求書・賞与支払いといった件名での送付
  • メール本文中にリンクが掲載
  • 添付ファイルに英文画面と「コンテンツの有効化」ボタンが表示

スミッシング

運送業者を装いスマートフォンのSMS機能を活用してメッセージを送り、偽サイトに誘導する手口です。
スミッシングはセキュリティ対策が難しいSMSの弱点と人々の生活の中でネットショッピングの利用頻度が増加してきたことを突いた攻撃で、2019年9月から被害が増大しています。

犯罪者は「荷物をお届けに上がりましたが、不在だったので持ち帰りました。詳細は下記をご確認ください」、「利用料金の確認がされていません」などの文章の後に、偽サイトへ誘導するリンクを掲載します。
また、偽サイトで個人情報を盗取する他にも、偽のアプリと一緒にマルウェアをダウンロードさせて大量のスパムメールやリクエストをターゲットサーバーに送るDDos攻撃に使用する踏み台として、スマートフォンを悪用するパターンもあります。

偽サイトやアプリは巧妙に作られており、一見しただけでは本物かどうか区別するのが非常に難しいです。
そのため、見に覚えのないメールは開かずに削除しましょう。

そして、新型コロナウイルスの感染が収まらない限り対面での買い物は制限される傾向にあるので、オンラインショッピングやクレジットカードの利用頻度は今後も高い水準で移行することが予想できます。
オンラインで自身が購入した商品の納入スケジュール管理を徹底して、犯罪者からのメッセージに惑わされないようにしましょう。

中間者攻撃とも呼ばれるMITB攻撃

新たなフィッシング詐欺として注目されるMITB攻撃(中間者攻撃とも呼ばれる)はファーミングと呼ばれる技術を活用し、ユーザーが使用しているPCブラウザを乗っ取ります。
インターネットバンキングユーザーをターゲットに、アカウント情報の盗取や送金先を改ざんします。

従来のフィッシング詐欺と異なる点は、ユーザーがアクセスしているWebサイトは正規のサイトである点です。
つまり、ユーザーの画面には正しい振込先に送金処理が完了しているよう表示されても、内部に侵入したマルウェアによって振込先が改ざんされ、犯罪者が用意した指定口座に振り込まれるといった形になります。

また、過去の履歴も書き換えられるため、多くのユーザーが不正送金をされたことに気付きません。
MITB攻撃は正規のWebサイト上でアカウント情報の入力を要求したり、振込先に送金処理をする際にキーボード入力やマウスの位置から情報を盗取したりします。
認証強化やワンタイムパスワードは機能しないケースもあるため、MITB攻撃を仕掛けるウイルスを検知するラポート・PhishWallなどのウイルスソフト、トランザクション認証機能を用いた専用トークンを導入する必要があります。

MITB攻撃による情報盗取パターン

  • ブラウザ上のキーボード入力の結果を盗み見
  • キーボード上のマウスクリックの位置を盗み見
  • マウスクリックの瞬間を画面キャプチャ
  • DLLインジェクション
  • コードインジェクション

フィッシング詐欺への対策は?

最も大切なのは偽装メールに対しての準備を徹底しておくことです。
内容に違和感を覚えるメールが来ても、リンクへのクリックや添付ファイルを安易に開くことは避けてください。

メールの件名・内容確認の徹底

フィッシング詐欺に掛かるリスクを下げる方法は怪しいメールを開かないことです。
内容に違和感を覚えるメールはすぐに削除をするか、無視してください。
基本的な方法ですがフィッシング詐欺に掛かるリスクを大幅に軽減します。

犯罪者は様々な工夫を凝らして、ユーザーを偽サイトやマルウェア感染するよう誘導してきます。
常にメールの内容が正しいかどうか、自分にとって本当に必要なメールかどうかを意識していれば簡単には引っ掛かりません。
また、ビジネスメールの場合は上司や同僚への相談、メールを送ってきた取引先に確認をするなど、相手に確認してから対応するのも有効な選択肢です。

個人情報の入力を求められたら危ないとの意識付け

インターネットバンキングの口座画面やリンク先のWebサイトでアカウント情報の入力を求められた場合は、すぐに偽サイトだと思うよう意識してください。
犯罪者が個人情報を盗取するための罠だからです。

いつもと違う要求をされた場合はすぐにおかしいと感じる癖付けが重要になってきます。
個人情報を保護する意識を高く保つことで、Webサイトを見分ける能力も養われます。

フィッシングメールの文面を確認しておく

これまでに確認されているフィッシングメールの被害事例を確認し、自分が受け取ったメールと確認することで真意を見分けます。
文面・件名・ファイル添付の内容などを認識しておくことで、実際にフィッシングメールが届いても落ち着いて行動することができます。

HTTPSに対応していないWebサイトへアクセスしない

インターネット上のやりとりを暗号化するプロトコルであるSSL (Secure Sockets Layer)を適用したHTTPS(Hypertext Transfer Protocol Secure) のサイト以外、使用を避けるようにしてください。
データが暗号化されていないと第3者に改ざんや盗取をされる確率が高まるからです。そのため、データ通信を暗号化していないURLが「http://」から始まるサイト、「http://」が書かれていないHTTP(Hypertext Transfer Protocol)のサイトを使用する際は十分に注意して利用してください。

また、HTTPSとHTTPの見分け方としてHTTPSは鍵マークがURLの横に付いているか、URLが「https://」から始まります。

フィッシング詐欺に掛かった場合は?

金融機関と警察にすぐに連絡して被害を最小化してください。

金融機関に連絡

使用している銀行やカード口座に連絡して、被害の拡大を防ぎます。
銀行の場合はフィッシング詐欺専用で連絡先を用意していますが、余裕が無い場合は店舗に連絡して状況を伝えてください。

また、クレジットカード情報を流出してしまった場合はカード会社に連絡し、該当のカードをすぐに止めます。
すぐに連絡することで金銭的被害の発生・拡大を防ぎ、新しいカードの発行作業へむスムーズに映れます。

警察へも連絡

被害の大小に関わらず警察に連絡を行い、被害届を必ず出してください。
被害届が無いとカード会社から不正利用・不正決済時の補償金が出されないからです。
そのため、クレジットカード情報が流出して身に覚えのない請求が届いた場合はすぐに対応を行う必要があります。

また、クレジットカード裏面への署名が無い場合や名前・生年月日を利用した単純な暗証番号を設定した場合は補償対象外となるので、注意しましょう。

  • このエントリーをはてなブックマークに追加