ICTソリューション紹介
緊急レポートコロナ禍の今、フィッシング詐欺激増中！

記事ID：D10005

公開日：2020/11/27

Part1 フィッシング詐欺とは？

―貴協議会の役割について教えてください。

フィッシング対策協議会事務局
一般社団法人JPCERTコーディネーションセンター
エンタープライズサポートグループ
リーダー
シニアアナリスト
吉岡道明氏

　「私たちはフィッシング詐欺に関する事例の情報収集と提供を通じ、国内のフィッシング詐欺の被害の抑制を目指し活動している任意団体です。発足は2005年4月で、会員はセキュリティ関係企業、またそうした詐欺にブランドを使われているネット関連企業や金融機関などで構成されています」

―フィッシング詐欺とはどういったものか教えてください。

　「フィッシング詐欺という言葉には狭義から広義までいろんなとらえ方がありますが、私たちは『不正アクセス禁止法』に照らし、フィッシングを定義しています。つまり実在の事業者を装って利用者にメールやSMS（※1）を送り、本物のサイトと誤認させてIDやパスワード、個人情報を盗み取る行為です」

―フィッシング詐欺被害を抑制するための具体的な活動はどういったものでしょう。

　「一般の方からいただいたフィッシング詐欺の手口などの情報を会員や関係機関などと共有するほか、そうしたメールの文面やサイトの画像を注意喚起のために公開しています。また稼働しているフィッシングサイトについては、国内における情報セキュリティ対策活動を行う中立組織である『JPCERTコーディネーションセンター』に報告し、関係するISP（インターネットサービスブロバイダー）にサイト閉鎖の要請を行うなどの連携を行っています。さらにフィッシング詐欺の未然防止に役立つ『フィッシング対策ガイドライン』を発行、毎年新たな情報を盛り込み改訂を続けています」

Part2 最近のフィッシング詐欺の傾向は？

―現在のフィッシング詐欺の傾向について教えてください。

　「私たちは2013年からフィッシング詐欺の報告件数の統計を取っていますが、2015〜2017年はほぼ横ばいという状況でした。それが2018年には前年の倍、2019年には約3倍、2020年は9月末時点での集計でも昨年の報告件数の2.5倍近くになっています（図1参照）。とくに今年になっての増加は、コロナ禍での在宅勤務や外出自粛などによるECサイト（オンラインショッピングサイト）を使う人が多くなり、そうした人がターゲットとして狙われているのではないかと推測しています。またとくに目立った傾向としては、フィッシングサイトのURLが頻繁に変わることです。最近のブラウザはフィッシングを疑われるサイトをブラックリスト化し、そうしたサイトにアクセスしようとすると警告を出すなどの機能があります。詐欺を仕掛ける側は、そうした対策をかいくぐるため、短時間でURLを変更していると思われます」

―フィッシング詐欺の具体的な手口にはどのようなものがありますか。

　「ECサイトや金融機関、カード会社を騙るメールで偽サイトに誘導し、IDやパスワード、個人情報（氏名、住所、電話番号）、クレジットカード情報を入力させ、盗み取る手口がほとんどです（図2参照）。また宅配便を装う手口もあります。これは『荷物をお届けに上がりましたが不在のために持ち帰りました。こちらをご確認ください』という不在通知のSMSをスマートフォンに送信し、iPhoneであれば偽サイトに、Androidであれば不正なアプリをダウンロードさせるというものです。こうしたアプリをダウンロードしインストールすると、その端末は悪意ある攻撃者から遠隔操作を許すことになり、以降同じようなフィッシングのSMSを送信する“踏み台”になってしまいます」

Part3 なぜ騙されてしまうの？

―そうした手口にどうして騙されてしまうのでしょうか。

　「一つはスマートフォンの普及です。スマートフォンはPCに比べ画面の表示エリアが狭く、メールソフトでは送信者名やメールアドレス、ブラウザではURLが見づらくなっています。そのため偽サイトのURLが見分けづらく、本物のメールと誤認してアクセスしてしまうのです。次に手口の巧妙化です。昔は日本語に間違いがあったり、言い回しにおかしなところもあったりして、ちゃんと読めば『これは怪しい』と気づくこともありました。しかし最近のフィッシングメールや偽サイトも本物をコピーして作られて、一目では見分けのつかないものも多くなっています。さらにもう一つ、『自分が行った操作』との関連づけです。例えばECサイトで買い物をした直後、オンラインバンキングで振り込みを行った直後にエラーメッセージを伝えるフィッシングメールが着信して、そのタイミングのよさから、うっかり信じてしまうパターンです。特にECサイトでは、Amazonや楽天など、利用者が多いサービスが、こうした詐欺の主な標的になっています」

―送信者は、そうした利用者の操作を何らかの方法で知ってフィッシングメールを送るのですか。

　「いいえ、そうではありません。詐欺を働く人物は、不正に得た大量のメールアドレスに同じ内容のメールを送信します。大手ECサイトは利用者も多いため、受信した人のうち何人かにはそうした“絶妙のタイミング”でメールが着信することになるわけです（図3参照）。またそうしたメールの多くには『アカウントをロックします』といった行動を急かす文言が含まれ、受信者を慌てさせ、正常な判断を妨げる細工も行われています」

Part4 有効な対策とは？

―このようなフィッシングメールや偽サイトを見破る有効な手段はあるのでしょうか。

　「かつては『メールのここを確認しましょう』といった“見破り方”が推奨されていた時期もありましたが、現在のフィッシングメールは、そうした方法では見分けがつかないものが多くなっています。またブラウザのアドレス部分にある『錠前マーク（SSLサーバー証明書）※2』も、最近では簡易なドメイン認証（DV）を取得している偽サイトが当たり前のように登場してきているため、見破る手がかりにはなりません。錠前マークをクリックすると『この接続は保護されています』というメッセージが出てきますが、それだけで偽サイトではないという判断はできないのです」

―では騙されないためには、どのような対策が必要でしょうか。

　「まずは慌ててメールにあるURLをクリックしないことです。ECサイトや金融機関へは、ブックマークにある正しいURLからアクセスする、またスマートフォンであれば正式なアプリからアクセスして状況を確認し、もし疑問点があったらそうした正しいサイトにある連絡先から問い合わせましょう。スマホアプリにも偽アプリは存在しますが、GooglePlayやAppStoreなど正規のストアからダウンロードしてインストールしていれば基本的に問題はありません。そしてほとんどの場合、正しいサイトが『本人確認のため』と称してカード情報、口座情報を入力させることはないということも覚えておくといいでしょう。また私たち協議会のウェブサイトでは『利用者向けフィッシング対策ガイドライン』を公開しています。ぜひこちらもご覧いただきたいと思います」

―今後の貴協議会の活動について、展望をお聞かせください。

　「先ほど申し上げたように、一般の方から報告を受け、関係先に連携して偽サイトを閉鎖するという調整をやっていますが、この閉鎖要請には強制力がありません。慣れている事業者はすぐ止めてくれますが、そうでないケースもあるのです。また偽の情報を使ってドメインを多数取る人もいますが、そこから先、そのドメインを使ってフィッシングサイトの運営を始めない限り、有効な手立てはありません。その他、大量にばらまかれているなりすましフィッシングメールの阻止のためには、電子メールにおける送信ドメイン認証（※3）技術（SPF,DKIM,DMARC等）の利用がありますが、まだまだ普及率が低いのが現状としてあります。こうした課題は当協議会だけで解決できる問題ではありませんが、関係各所に情報提供し、課題を共有するなどして、解決につながる活動を続けていくことができればいいと思っています」

※1 SMS:ショートメッセージサービスのことで、携帯端末間で「テキスト」をやり取りできる仕組みのこと。

※2 錠前マーク（SSLサーバー証明書）：信頼できる第三者機関（認証局）が発行する電子証明書で、アクセスしているサイトが「認証局によって認められた正当なサイトである」ということを証明するもの。

※3 送信ドメイン認証：送信者のメールアドレスが正規なものであることを証明する技術

組織名	フィッシング対策協議
事業内容	フィッシング詐欺に関する事例の情報収集と提供を通じ、国内のフィッシング詐欺の抑制を目指して活動する任意団体（2005年4月発足）。会員はセキュリティ関係企業をはじめ、詐欺にブランドを利用されている企業などで構成されている。