フィッシング詐欺の手口がますます巧妙になっている今、被害を防ぐための具体的な対策は何か?
フィッシング詐欺は、攻撃者にとって手軽に大きな効果を生む可能性があるため、手法がますます巧妙かつ悪質化している。このようなフィッシング詐欺がユーザーのデジタルライフに潜む脅威となっているため、最新の手口やその進化、取るべき対策について詳しく解説する。
フィッシング詐欺とは
インターネット上には多様な詐欺行為が存在する中で、フィッシング詐欺は特に広まっている手口の一つだ。攻撃者は有名なECサイトや銀行を装い、ユーザーにメールを送って本文のURLをクリックさせ、偽サイトに誘導する。見た目が本物と区別しにくいこの偽サイトにて、ユーザーがパスワードやカード番号などを入力すると、攻撃者がその情報を盗み取る。こうした「偽サイトに誘導して情報を釣り上げる」手法から、フィッシング詐欺と呼ばれている。フィッシング詐欺は以前から知られているものの、その被害は増加傾向にある。フィッシング対策協議会の報告では、2021年8月のフィッシング報告件数は前年同期比で2倍以上の5万件を超えており、コロナ禍による人々の不安を悪用した巧妙な手口が原因の一つとされている。メールやSNSなどのコミュニケーション手段が悪用されており、ユーザーはフィッシング詐欺の手法を理解し、備えることが求められている。
メールだけではないフィッシング詐欺の手法とは
フィッシング詐欺は、攻撃者が用意した偽サイトへとユーザーを誘導することで成立する。一般的にはメールが使われるが、近年では普及が進むSNSやスマートフォン(以下、スマホ)を活用した、さらに効果的な手法も増えている。以下では、フィッシング詐欺に使われるさまざまな手口について紹介する。
SMSを使ったスミッシング詐欺
SMS(ショートメッセージサービス)を使ったフィッシング詐欺の一種であるスミッシングは、SMSとフィッシングを掛け合わせた造語だ。攻撃者は携帯電話番号さえあればランダムにフィッシングメッセージを送信でき、最近では配送業者からの不在通知やネットショップの不正ログイン検知を装うスミッシングが急増している。正規の事業者を装って偽サイトに誘導する手法も増えており、十分な注意が求められる。
音声を使ったビッシング詐欺
特定の機関になりすまして電話をかけたり、フィッシングメールに記載された電話番号にかけさせる手口がビッシング詐欺である。銀行やベンダー、政府、ITヘルプデスクなどの信頼できる機関に成りすますことが一般的だ。電話がつながると、巧妙な手法でユーザーの心理を操作し、あらかじめ用意されたフィッシングサイトへと誘導する。電話はメールよりもリアルタイムであり、切迫感や恐怖感を煽りやすいため、危険性が高いとされる。
実在の企業や組織に偽装するファーミング詐欺
ユーザーがWebブラウザーにURLを直接入力したり、ブックマークからサイトにアクセスしても、偽のフィッシングサイトへ誘導される手法がファーミング詐欺である。ユーザーは偽サイトへ誘導されたことに気づかないため、非常に巧妙で悪質なフィッシング詐欺の進化形とも考えられる。ファーミング詐欺は、標的のユーザーのパソコンをマルウェアに感染させたり、不正侵入してhostsファイルやDNSサーバーのキャッシュを書き換えたりすることで成立する。この手法により、Googleの検索結果からのアクセスでもフィッシングサイトに誘導されてしまう。
SNSの乗っ取り
攻撃者はブルートフォース攻撃などを利用してIDとパスワードを手に入れることができれば、簡単にSNSアカウントを乗っ取ることが可能である。SNSは個人情報の倉庫とも言える存在であり、乗っ取られると単なるプライバシーの侵害を超え、非常に危険な状況を招く恐れがある。フィッシング詐欺も、SNSを乗っ取る手段として利用されることがある。知らずにフィッシングサイトでIDとパスワードを入力してしまい、それを盗まれてSNSが乗っ取られるのだ。また、多くのSNSに備わるメッセージ機能を悪用し、不特定多数のユーザーをフィッシングサイトへ誘導する手口も増えている。SNSが主要なコミュニケーションツールとしての地位を確立する中で、今後もフィッシング詐欺のターゲットとしてSNSが増加する可能性が高い。
巧妙化するフィッシング詐欺への対応策
攻撃者にとってフィッシング詐欺は、不特定多数のユーザーを対象にして、大量の個人情報やカード番号を入手しやすい方法である。手口はますます巧妙になっているが、その仕組みは単純であるため、ユーザーの注意や対策によってフィッシング詐欺の被害を大きく軽減できる。
攻撃者の手口を把握する
フィッシング詐欺は日々進化しており、今後も新しい技術などを取り入れて、より巧妙な手法が誕生するだろう。最近では、メールだけでなくSMSや音声、SNSを使ったフィッシング詐欺の進化にも注目することが必要だ。手口は常に新しく変化しているが、ほとんどは以前からの手法を改良したものに過ぎない。典型的な詐欺手法を前もって把握しておくことで、フィッシング詐欺を含むネット詐欺を回避する可能性が高くなるはずだ。
メッセージ内のURLはクリックしない
サプライチェーン攻撃の多くは、マルウェアやランサムウェアの感染を通じて引き起こされています。そのため、従業員が使用するパソコンにセキュリティソフトを導入することが、基本的な対策として不可欠です。さらに、不審なファイルを開かないことや、業務に無関係なWebサイトへのアクセスを控えるなど、従業員のセキュリティ意識向上を目的とした社内研修の実施も考慮すべきでしょう。
セキュリティソフトを導入する
メールにおいては、送信元の偽装やHTMLメール形式を利用してURLを正規のものに見せかけるケースが多く見られる。しかし、こうした手法は一般的なIT知識では見抜くのが難しい。とはいえ、都度専門家に相談するのも現実的ではない。多くのセキュリティソフトには、フィッシング詐欺を狙ったメールを排除するフィルタリング機能があり、ユーザーの受信フォルダに届くリスクを減少させることができる。また、ユーザーがフィッシングサイトと疑われるサイトにアクセスしようとした際には、それをブロックする機能も備わっている。
進化するフィッシング詐欺に応じて対策も進化させる
フィッシング詐欺の被害は依然として多発している。この危険性が強調される中で、被害が減少しないという現実に私たちユーザーも向き合うべきだろう。国内では、毎日のように詐欺に関する報道がなされている。確かに、日本は海外に比べて一般的な犯罪件数は少ないかもしれない。しかし、インターネットが世界と接続することを前提としているため、以前の国内に閉じた時代と同様の対応を続ける必要があるとは言えないのではないだろうか。今後も、インターネットを利用したさまざまなサービスに偽装した巧妙なフィッシング詐欺が出現する可能性が高い。ユーザーとしては、適切な対策を講じるだけでなく、常に危険が潜んでいるという認識を持つことが重要だ。
