フィッシングサイトとは、正規サイトからの偽メールを装って誘導し、アクセスしてきた人の個人情報やアカウント情報を盗み取る詐欺サイトのこと。なかなか被害はなくならない。理由のひとつとして、被害者の多くがフィッシングや偽サイトということに気付かずにアクセスしていることが考えられる。
そこで、改めてフィッシングとはどんな攻撃であり、どんな対策があるのか、最新事例も含めておさらいしてみたい。正規メール、正規サイトではないので、見破るポイントはいくつかある。
フィッシングとは?
フィッシング対策協議会(APWC)のサイトによれば「フィッシング(Phishing)」は以下のように記されている。
フィッシング (Phishing) とは、金融機関 (銀行やクレジットカード会社) などを装った電子メールを送り、住所、氏名、銀行口座番号、クレジットカード番号などの個人情報を詐取する行為です。電子メールのリンクから偽サイト (フィッシングサイト) に誘導し、そこで個人情報を入力させる手口が一般的に使われています。
ポイントは、誘導にメールを使う点と、誘導先の偽サイトで個人情報やアカウント情報などを窃取する点だ。誘導する偽サイトは、銀行のオンラインバンキングサイト、ネットショッピングサイトのログイン画面であることが多い。アンケートなどを装ったフォーム入力ページの場合もある。偽サイトに誘導し、そこでアカウントID、パスワード、暗証番号などを入力させる手法が一般的だ。
したがって、たとえ偽メールで誘導されたとしても、ファイルやアプリをダウンロードさせるようなサイト、ブラウズすることでマルウエアに感染させるようなサイトはフィッシングサイトとは呼ばない。このような攻撃は、フィッシングではなく標的型メール攻撃に分類される。
BtoBサイトで取り込み詐欺も発生
もうひとつ付け加えるポイントとしては、他のサイバー攻撃同様にフィッシングも進化している点だ。
本質的な部分は今でも変化はないが、近年は誘導メールにSMSを利用する攻撃も確認されている。あるいは、SNSの乗っ取りアカウントや攻撃アカウントの投稿のリンクからフィッシングサイトに誘導して、個人情報などが盗まれる事例も報告されている。こうした攻撃手法の変化に、注意を払いたい。
これまでは、オンラインバンキングやショッピングサイトの利用者のような、個人消費者をターゲットとしたフィッシング行為が多かった。最近では、企業を狙ったフィッシングも存在する。BtoBの調達サイト、マッチングサイトなどのフィッシングも報告されている。
例えば、業者専用の中古車オークションサービスのログイン画面のフィッシングによって、会員情報(業者アカウント)を盗み、そのアカウントを利用した取り込み詐欺が発生したことがある。乗っ取ったアカウントで、偽の発注をして中古車をだまし取ったり、偽の出品情報で金銭をだまし取ったりした。
フィッシング報告件数について、国内では2014年にピークを迎え、ここ2年ほどは減少傾向にあるが、被害金額はほとんど減っていない(2014年:約29億1000万円、2015年:約30億7300万円、APWC:フィッシングレポート2016より)。金融機関を狙ったフィッシングが手口、偽サイトともに巧妙化し、攻撃の“効率が上がった”ことが原因だと考えられる。
この先は日経クロステック Active会員の登録が必要です