Pocket

※任意団体SPREAD当時に公開されたコラムです。

トレンドマイクロ株式会社 林 憲明氏

いまなお深刻なフィッシング詐欺被害

フィッシング詐欺とは、実在する組織やサービスを騙って個人情報を不正に窃取するオンライン詐欺の一つです。犯罪者は、クレジットカード番号やインターネットバンキング、ショッピングサイトのID、パスワードなどの個人情報を詐取し、金銭をだまし取る犯罪です。

しかし、最近では金銭に直結しないSNS(ソーシャル・ネットワーキング・サービス)を騙ったものや、インターネットサービスプロバイダ(ISP)などのウェブサイトに似せたフィッシングサイトの存在も複数確認されています。

皆さんが金銭的な価値を感じていない情報であったとしても、犯罪者は金銭的な価値を見いだしています。今回は安全にインターネットを楽しむための最新情報として、フィッシング詐欺を中心にその歴史的背景を含めご紹介します。

■脅威が言語の壁を越えた瞬間

世界初のフィッシング詐欺はいつなのか。これには諸説あります。2003年にはオーストラリアの銀行を装ったフィッシングメールが確認されています。翌年11月には日本語のフィッシングサイトが確認されました。このとき標的となったのは、クレジットカード会社のサイトでした。

日本の状況を考えると、英語で誘導する脅威に対して無視する人が多く、その影響は限定的になります。言語がファイアウォールの役割を果たしているといえます。ただし、ひとたび脅威が言語の壁を越えたとき、その被害は大きくなります。

なお、フィッシングメールの中には日本語の文法が不自然なものも確認されています。すなわち、外国人による犯行であると推測できます。不自然な文法に気づき、被害を未然に防いだ人もいました。

■お金はもちろん、個人情報の提供は慎重に

フィッシング対策協議会では、毎月『月次報告書:フィッシング報告状況』を発行しています。そこには、フィッシング詐欺メールの報告件数を記載しています。これによれば、2014年度、フィッシング詐欺メールの報告件数は10月末時点で21,357件に到達しています。前年比に注目すると5.6倍の増加傾向です。この事実からも、フィッシング詐欺の被害は引き続き深刻であるといえます。

graph

図1:フィッシング詐欺メール報告件数

フィッシング詐欺において標的とされる業種やサービスには特徴があります。標的ブランドについて業種別にその割合を分析するとその傾向は顕著です。金銭に直結する金融業種が最も多く64%を占めています。次いで、オンラインゲームが15%でした。この背景には、オンラインゲーム上のアイテムを実社会の金銭で売買する「リアルマネートレード」の存在が影響していると推測されます。オンラインゲーム内にしか存在しない仮想のアイテムが、現実の金銭で売買されるほどの価値を持っているのです。守るべき情報資産は、端末上の個人情報や金銭だけとは限らないことを知っておいてください。なお、オンラインゲームがフィッシング詐欺の標的とブランドとして高い割合を示しているのは、世界的にみて日本特有の傾向であるといえます。国境なきインターネットでも、人を介す犯罪には、地域性が見られるというのは興味深いポイントといえます。

図2:標的ブランド業種別割合

図2:標的ブランド業種別割合

業種別割合では目立っていませんが、世界的に「Apple ID」や「Googleアカウント」を狙ったフィッシング詐欺が増加傾向にあります。これらアカウントはスマートフォンをはじめ、複数のサービスに紐付くアカウントです。こうした特徴が、金銭的な価値を高め、犯罪者が狙う動機になっていると推測されます。

犯罪者が利用する闇市場には、Apple IDを狙ったフィッシングサイトを簡単に設置する事のできる、「フィッシング詐欺構築キット」が流通している事が「トレンドマイクロセキュリティブログ」や「エフセキュアブログ」にて報告されています。こうしたキットの流通もフィッシング詐欺増加の要因の一つであるといえそうです。

フィッシング詐欺は、パソコンに限ったオンライン詐欺ではありません。スマートフォンやゲーム機、ウェブを閲覧する機能を持つ端末はすべて、この脅威にさらされているといえます。

図3:iPhoneから確認した「Apple ID:iTunes Connect」のフィッシングサイトとパソコンから確認した「Googleアカウント:Google Drive」のフィッシングサイト

図3:iPhoneから確認した「Apple ID:iTunes Connect」のフィッシングサイトとパソコンから確認した「Googleアカウント:Google Drive」のフィッシングサイト

■「せかす」ような行動を促す内容は詐欺である

フィッシングサイトへ誘導する手口としてもっとも使われているものは、メールです。ここで、フィッシングメールの実例をみてみましょう。図4は、2014年に確認された日本の銀行利用者を標的としたフィッシングメールです。

この事例では、「アカウントの利用中止を避けるために、検証する必要があります。」と不安や焦りを誘う言葉でメールに記載されたリンクへのクリックを促しています。これは、フィッシングメールにおける常套句です。せかすような行動を促すものは詐欺であると疑って接する心掛けが必要です。怪しいと思ったら返事をすべきではありません。

フィッシング対策協議会では、『フィッシング対策ガイドライン』にて、疑うべきメール文面を紹介しています。犯罪者がどのような手口でせかしてくるのか知っておくと冷静な対応をとることができます。差出人が誰であろうと、誰宛と書かれていようと、「何をさせようとしているのか」この点だけに注目して、怪しい特徴を判別しようとする心がけが重要です。

<疑うべきメール文面の一例>

  • 「緊急、今すぐ、明日まで」等、対応を急がせる文面
  • 「素晴らしい、あなただけに、特別な」等、欲望を掻き立てるフレーズ
  • なんらかの秘密情報を聞き出そうとする
  • 日本語として妙なところがある(外国人が作成したもの)

それでも不安に感じることがあれば、サービス事業者へ問い合わせしましょう。このとき重要なのは、フィッシングメールに記載されている連絡先に応答してはいけないということです。フィッシングメールに記載された連絡先は犯罪者が用意した偽りの情報である可能性があります。日頃から緊急時の連絡先をどこかにまとめておくとよいでしょう。金融機関やカード会社、携帯電話会社の連絡先などをまとめておくと、紛失時の相談などにも便利です。

さて、図4のメールには見た目から明らかに不審と判断出来るポイントが3つあります。皆さんはその全てに気づく事ができましたか。「ココチェック」を一つずつみていきましょう。

一つ目は、差出人のメールアドレスです。日本の銀行からのお知らせメールであるにも関わらず、「.tw」(台湾)のフリーメールアドレスを使って送信されたメールであることが分かります。これは不自然です。

二つ目は、不自然な日本語です。「貴様」(キサマ)という単語が使われています。今回の事例では不自然な日本語を見つける事ができました。しかし、最近確認されるフィッシングメール又はサイトの文面は自然な日本語が使われていることも多いです。犯罪者の多言語対応が進んでいます。このため、文面に頼った危険性の判断は難しくなっていることを知っておいてください。

そして、最後。メールに記載されているURLです。一見すると、正しいURLが記載されていました。しかし、これは犯罪者の手によって偽装されています。犯罪者はHTML形式の機能を悪用することで、「.cn」(中国)のサイトへ接続するようにワナを仕掛けていました。

phishing_mail-thumb-400x255-724

図4:日本の銀行からの案内メールを装ったフィッシング詐欺

フィッシング詐欺の被害者とならないために、サイトを見分けるポイントも理解しておきましょう。

お金の移動や個人情報の提供を求めるページへアクセスしたときにまず確認しておきたいのが、ウェブサイトブラウザ上の「錠前マーク」です。錠前マークが表示されていれば、暗号化されたHTTPS接続が可能である事を示しています。このときもちろん、正しいURLにアクセスしていることを併せて確認することが重要です。

■自分にとって安全=みんなにとって安全

オンライン詐欺の脅威から身を守るためには、ウェブを閲覧する端末をクリーンに保つことが重要です。犯罪者の中には、ウイルスなどの不正な手口を使って、パソコンや家庭用ルータの設定を勝手に変更し、たとえ正規のURLを直接ブラウザに入力しても指定のウェブサイトにつながせずに、偽のウェブサイトへと誘導する「ファーミング」と呼ばれる手口も確認されています。セキュリティ対策ソフトウェアは自動更新を行い、常に最新のエンジンおよびパターンファイルを利用してください。また、ブラウザ及びOSに最新のセキュリティ更新プログラムが提供された状態で利用しましょう。

もし、自分が利用しているパソコンの状態に不安を感じるならば、パソコンの健康診断をしてみてはいかがでしょうか。IPA(独立行政法人 情報処理推進機構)では、「MyJVNバージョンチェッカ」と呼ぶツールを無料公開しています。このツールでは、設定やソフトウェアが安全な状態になっているかをチェックすることができます。こうしたツールを利用することで、見落としがちな点も含めて、パソコンを常にクリーンな状態に保つことができます。

フィッシング詐欺被害に遭いアカウント情報を詐取された場合を考えると、影響の拡大を防ぐため、アカウント ID、パスワード等の認証情報は、サービス事業者別に分けておくことが望ましいといえます。しかし、多くのサービス事業者を利用している場合には、記憶だけに頼っていては、全てのアカウント ID/パスワードの組を管理することは難しいものです。このような場合には、アカウント ID とパスワードの組について安全性を確保して管理するためのソフトウェアの利用を検討してみてはいかがでしょうか。

図5:アカウント管理ソフトウェア例:トレンドマイクロ パスワードマネージャー

図5:アカウント管理ソフトウェア例:トレンドマイクロ パスワードマネージャー

ブラウザにもサイト毎にアカウント ID/パスワードを記憶しておく機能(オートログイン)があります。しかし、ブラウザの機能ということはブラウザにぜい弱性があれば ID/パスワードを盗まれるリスクがあるということにもなります。このため、ブラウザのオートログイン機能は便利ではありますが、お金の移動や個人情報の提供を行うサイトには、ブラウザ以外のアカウント管理ソフトウエアの利用をオススメします。

あなたのオンラインアカウントを守るための新しい技術も登場しています。その一つが、「二段階認証: Two-Factor Authentication」です。この新しい技術ではあなたのアカウントを守るためにパスワードに第二の要素を追加することで保護技術の層に厚みを持たせています。安全な本人確認を技術は日々開発されています。こうした技術を使う事ができるサービスでは、積極的に利用するとよいでしょう。二段階認証の詳細についてもっと知りたい場合には、『「TWO STEPS」推進・キャンペーン』の情報がオススメです。

オンライン上のご自身の行動は、ご家族、同僚の方々、世界中の人々を含め、他の方々すべてに影響を及ぼす可能性があります。良いオンライン習慣を実践することは、世界中のデジタル社会に恩恵をもたらすことを知っておいてください。

もしあなたがサイバー犯罪の被害に巻き込まれた疑いがあるときには、積極的にそのサービスを提供する事業者へ報告・相談し、最寄りの都道府県警察本部のサイバー犯罪相談窓口に報告するなど、その問題に協力してくれる組織の助けを求めてください。

あなたの被害報告によって、ほかの誰かの被害を未然に防ぐ事ができるかもしれません。疑わしいオンライン上のやりとりに遭遇した場合に備え、あらかじめメールやウェブページの画面を記録し、保管する方法を確認しておきましょう。このとき、電子的な方法に加え、印刷した記録も日付とともに管理しておく事をオススメします。

フィッシング対策協議会では、フィッシングと思しきメールを受け取った場合の連絡窓口を用意しています。フィッシング対策協議会では、みなさんからのご相談や情報提供をお待ちしております。まずは、お気軽にご連絡ください。

被害 相談窓口
・フィッシングと思しきメールを受け取った フィッシング対策協議会
info@antiphishing.jp
・ネット犯罪に遭遇 警察庁 サイバー犯罪相談窓口
・迷惑メールを受け取った 迷惑メール相談センター
・偽装品の販売に遭遇 一般社団法人 ユニオン・デ・ファブリカン
・商品やサービスなど消費生活全般に関する苦情や問合せ 独立行政法人国民生活センター 消費生活センター
・自社ブランドになりすました偽サイトを確認 なりすましECサイト対策協議会

■インターネットを安全に利用する習慣「STOP. THNIK. CONNECT.」

最後にインターネットを安全に利用するためのちょっとしたコツをお伝えします。歩行者が横断歩道を渡るときには、まず左右の安全確認です。インターネットを安心して利用するための習慣もこれと似ています。インターネットを安心して利用するための3つのステップそれが、「STOP. THNIK. CONNECT.」です。

STOP(立ち止まって理解する)

インターネットは便利ですが、一般社会と同様、そこには危険もあります。どのような危険があるかを知り、解決策をどのように見つけるかについて、一旦、立ち止まって調べましょう。

THINK(何が起こるか考える)

様々な警告の見極め方を知る必要があります。警告を確認したら、これから取ろうとする行動がコンピュータやあなた自身の安全を脅かさないか考えましょう。

TCONNECT(安心してインターネットを楽しむ)

危険を理解し、十分な対策をとれば、インターネットをより信頼できるようになるでしょう。

フィッシング対策協議会では、2014年12月3日に、STC 普及啓発ワーキンググループの活動により、日本版 「STOP. THINK. CONNECT.」 ウェブサイトの公開を行いました。本サイトは、サイバーセキュリティの意識向上を目的としたメッセージ配信のためのウェブサイトです。グローバル版から抽出した情報の翻訳以外に STC 普及啓発 WG メンバーによる国内事情を考慮したインターネットをより安全な空間に保つ手助けとなる情報の発信を行っていきます。

今日、世界中のほとんどの人々がインターネットに接続し、サイバー犯罪に巻き込まれる可能性があります。

日本は世界に先駆けて超高齢化社会を迎えようとしています。そんな中、すべての人が情報面で孤立しないようにすることがサイバー空間の問題を解決するために重要と考えています。STC普及啓発ワーキンググループでは、『誰かが困ってる時は助けを申し出るサイバー空間の実現』を目指し、より多くの方へ最新の脅威と対策をお伝えし、フィッシング詐欺をはじめとするオンライン犯罪に対して備えていただくことで、危険だから利用しないのではなく、正しい知識を持ってインターネットを積極的に楽しんでいただくことを強く願っています。

林憲明氏(トレンドマイクロ株式会社)

※筆者紹介
STOP. THINK. CONNECT.普及啓発WG 副主査
 
学生時代に就業体験先にて、マクロウイルス被害に遭遇。
それをきっかけ に2002年、トレンドマ イクロ(株)へ入社。
2010年に先端脅威研究を行う日本部門立ち上げに携わり現在に至る。
 
オンライン 詐欺、モバイルなど個別部門では扱いづらいテーマの研究と
同時にSTC普及啓発WG副主査としてサイ バー空間における良い習慣
「STOP. THINK.CONNECT.」を広めるべく、講 演・執筆活動を積極的に行う。

SPREAD事務局より
フィッシング対策協議会の執筆陣によるリレーコラムの第3回。自分はひっかからない…と思っているかもしれません。でも実際にはこれだけの被害がおきています。そしてそのお金は悪い人たちがさらに悪い事をするための資金となるケースもあるわけで、自分とは無関係とは言えないわけです。自分は関係ないと思わず、ひとりひとりが気をつけて、更に家族や身近な人も被害にあわないようにすることで社会全体の被害を減らす事ができるはずです! STOP. THINK. CONNECT.を合い言葉にとりあえず立ち止まってよーく考えてからクリックする習慣をつけましょうsign03

『危ない』『怖い』ばかりでなく安全な利用方法を一緒に考え伝えていきましょう!happy01

そして次回はフィッシング対策協議会リレーコラム最終回になります!お楽しみに〜。