フィッシング詐欺は、偽のWebサイトへ誘導して認証情報や決済情報を詐取するサイバー犯罪です。サイバー犯罪としては古くからあるもので、よく知られています。しかし、フィッシング詐欺でWebサイトへ誘導する手口や、誘導先のWebサイトの種類は非常に豊富です。また、常に新しい手口が出てきているため、フィッシング詐欺を防ぐには、そのときの傾向を理解しておかなくてはなりません。

定番の手口から新しい手口まで、多くのバリエーションがあるフィッシング詐欺の手口について説明します。

フィッシング詐欺の基本

フィッシング詐欺(Phishing Scam)は、インターネット経由で認証情報、個人情報、決済情報などを詐取する手口の犯罪です。詐取した情報を悪用する目的で行われます。

フィッシング詐欺については、「フィッシング詐欺の被害を防ぐには?企業としてどのような対策を取ればよいか」で詳しく解説しています。ぜひご一読ください。

フィッシング詐欺の基本的な手口

  1. フィッシングメール
    金融機関や携帯電話会社などを装った、なりすましメール(フィッシングメール)をユーザーに送信します。
  2. フィッシングサイトへの誘導
    なりすましメールの本文に挿入したリンクから、金融機関や携帯電話会社などのWebサイトになりすました偽のサイト(フィッシングサイト)に誘導します。フィッシングサイトのURLは本物の公式サイトのURLに似せてつくられており、被害者が勘違いしやすいものになっています。
  3. 個人情報の詐取
    誘導したフィッシングサイトに個人情報や認証情報、ログイン情報、決済情報などを入力させることで、その情報を詐取します。

基本的にはこのような流れで行われますが、なりすましメールの送信元や誘導先のWebサイト、誘導の理由などにさまざまなバリエーションがあります。

フィッシング詐欺は増加傾向にある

最近はフィッシング詐欺の件数が増えており、フィッシング対策協議会の「フィッシングレポート2021」によると、2020 年上半期、下半期ともに前年同期比で大幅に増加しています。

参考:フィッシングレポート 2021|フィッシング対策協議会

主な理由は、次の2点です。

  • インターネット通販の利用増加
    コロナ禍で外出の機会が減り、インターネット通販を利用することが多くなったため
  • 不安な心理状態
    コロナ禍や外出自粛で、多くの人が「なんとなく不安」な気分にあり、そこを突く形のフィッシング詐欺が増えたため

フィッシング詐欺は増加傾向にあります。最近では、コロナ禍による人々の心理や生活の変化につけ込む手口がよく見られるようになっています。

フィッシング詐欺の新しい手口や傾向

最近増えている、フィッシング詐欺の新しい手口には次のようなものがあります。

ファーミング

これまでのフィッシングサイトは、正規のWebサイトと似ていても少し異なるURLを使い、そっくりな偽のWebサイトを作成していました。しかし、ファーミング(Pharming)と呼ばれる新しい手口では、フィッシングサイトが元々あった正規のWebサイトのURLを乗っ取って使っています。ファーミングが行われると、そのURLで元の(正規の)Webサイトを閲覧することはできません。

正規のWebサイトのDNSサーバーを不正に書き換えて、正しいURLをクリックしても偽のWebサイトに誘導する仕組みです。そのため、ユーザーがなりすましメールのリンクを利用せずに、ブラウザ上で正しい URL を入力、またはブックマークからアクセスしても、自動的に偽のサイトに誘導されてしまうのです。Googleの検索結果を利用しても、ファーミングされたフィッシングサイトに誘導されます。正規のWebサイトに辿り着くことはできません。

フィッシングサイトを閲覧中も、アドレスバーにも正しいURLが表示されるため、被害に気づくことが非常に難しくなっています。

スミッシング

スミッシング(Smishing)は、フィッシングメールではなくSMS(Short Message Service)からフィッシングサイトへ誘導する手口です。SMSはアドレス代わりに電話番号を使って送信するメッセージなので、無差別攻撃にも標的型攻撃にも使われます。スミッシングではIDとパスワードだけでなく、ワンタイムパスワードを詐取することも可能です。

SMSはワンタイムパスワードや二段階認証などにも使われ、認証情報の送信に利用することが多いものです。そのため、SMSを利用して金融機関やキャリア決済の認証情報を詐取されると、被害も大きくなります。

スマートフォンからの決済情報の詐取

スマートフォンから利用できる銀行や電子決済サービスが増えているのに合わせて、スマートフォンを狙ったフィッシング詐欺も増加しています。多くはアプリケーションで連携する銀行口座や、キャリア決済の認証情報が標的です。

また、偽のネットショップを作成してスマートフォンから買い物をさせ、決済情報だけを詐取して品物を送らないという方法もあります。

SNSを狙う

Instagram、Facebook、TwitterなどのSNSの認証情報を抜き取り、そこから個人情報を詐取するという方法もあります。SNSはIDとパスワードさえ入手できれば容易に乗っ取ることができ、広くコミュニケーションにも使われているので、狙われやすいのです。

個人情報を抜き取るだけでなく、SNSの発言から友人をフィッシングサイトへ誘導することもあります。

クラウドサービスを狙う

クラウドサービスの認証情報も狙われています。

これまでは、クラウドサービスに保存されている個人情報や個人的な金銭被害が主な目的でした。最近はテレワークの増加により、個人の利用するクラウドサービスでも、業務上のデータが保存されていることがあります。そのデータが狙われることが増えているのです。

ビッシング詐欺

フィッシングメールの代わりに通話を使う方法です。「Voice Phishing」を略してビッシング(Vishing)と呼ばれています。金融機関や政府・自治体の組織、IT系企業のヘルプデスクなどになりすまし、フィッシングサイトに誘導します。

被害者が加害者と会話することで不安感や恐怖感をあおりやすく、詐欺にあうリスクも高い手口です。

コロナ禍を利用した誘導

コロナ禍に関連した内容で誘導するフィッシング詐欺も増えています。WHO(世界保健機関)や厚生労働省からの連絡を装うもの、新型コロナウイルス関連給付金の手続きに関する情報を装うものなどです。

また、コロナ禍で利用が増えたオンラインツール「Zoom」からの通知など、さまざまな内容や通知を装ったフィッシングメールが報告されています。

情報システム部門ができることは

フィッシング詐欺が増えているなか、情報システム部門としては次のような業務が必要になります。

  • 社員がフィッシング詐欺にあわないように教育を行う
  • 業務用PCがフィッシング詐欺にあわないように対策を講じる
  • 新しいフィッシング詐欺の手口について情報収集を行う

フィッシング詐欺にあわないための社員への教育

情報システム部門としては、社員がフィッシング詐欺を始めとするサイバー攻撃の被害にあわないよう、セキュリティ教育を行う必要があります。

社員への教育については、「情報セキュリティ教育とは?自社で情報セキュリティ教育を行うための手引き」で詳しく解説しています。ぜひご一読ください。

フィッシング詐欺にあわないための端末への対策

フィッシング詐欺だけでなく、さまざまなサイバー攻撃を防ぐため、社内のPCに次のような対策を行います。

新しいサイバー攻撃の情報収集

フィッシング詐欺だけでなく、広くサイバー攻撃についての情報収集を行い、対策や教育に生かします。

フィッシング詐欺や被害届に関する情報は、次のWebサイトから収集可能です。フィッシング詐欺にあった際に、対策に関する情報収集や通報先を確認できます。

フィッシング対策協議会 Council of Anti-Phishing Japan

フィッシング110番|警視庁サイバー犯罪対策プロジェクト

フィッシング詐欺はけっして古いサイバー犯罪ではない

フィッシング詐欺には常に新しい手口が追加され、毎日のように被害が発生しています。けっして「すでに対策済みの古いサイバー犯罪」ではないのです。むしろ、これからもバリエーションが増えて、被害も拡大すると考えられます。

サイバー攻撃を未然に防ぐため、情報システム部門としては、次のようなことができます。

  • サイバー攻撃を未然に防ぐ対策を講じること
  • サイバー攻撃に関する情報を収集すること
  • ユーザーにもITリテラシーやセキュリティについての教育を行うこと

サイバー攻撃を未然に防ぐような対策は、さまざまなセキュリティツールを組み合わせて実現します。たとえば、「Webroot® Business Endpoint Protection」で、自社のエンドポイントやWebサイトのフロントエンドを保護します。また、「Webroot® DNS Protection」で自社端末やWebサイトの入り口対策が、「Carbonite® Endpoint」によりそれぞれのデータの保護が可能です。

社内で「Microsoft 365」を利用している場合は、「Carbonite® Backup For Microsoft 365」でバックアップを作成すると、より効果的でしょう。