フィッシング詐欺に気をつけろ!

「不審なメールは見破るから大丈夫」が危ない JPCERTコーディネーションセンター 吉岡 道明、平塚 伸世

記事保存

日経BizGate会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。

 また、警察庁によれば、インターネットバンキングに係る不正送金事犯による被害が2019年9月頃から急増し、2019年11月の被害金額は7億7600万円に達しました。

 フィッシングという手口そのものは、インターネットの黎明期から確認されており、新しいものではありません。一方、インターネット上で提供されるオンラインサービスの種類や利用者数は増え続けており、フィッシングの手法もサービス内容や利用者、時勢に合わせて巧妙化しています。これらのことが昨今のフィッシング被害の増加につながっています。

 フィッシングサイトの多くは本物のサイトをコピーして作られており、見た目からフィッシングサイトと見破るのは非常に難しいです。メッセージの文面も、以前は日本語として違和感のあるものが多く見られましたが、最近は本物のメールのメッセージをコピーまたは参照して作成していることから、正しい日本語を使うものが多くなっています。

 また、インターネットバンキングの不正送金対策として広く導入が進んだワンタイムパスワードも以前ほど十分に安全とは言い切れなくなりました。ワンタイムパスワードは有効な時間が短く、すぐに使えなくなりますが、昨今の犯罪者は盗み取った情報を即座に本物サイトへ入力し、不正送金などの操作を行います。

 さらに近年、スマートフォンの普及により、メールのみならずSMSのメッセージから、スマートフォンに最適化したフィッシングサイトが表示されるケースも多くなってきています。

なぜ被害にあったのか

 フィッシングメールやフィッシングサイトは、よく見ればおかしいと気づくことができる、と思う人もいらっしゃるかもしれません。いままで何通もそのようなメールを受信したことがある方は、すでに自分なりの必ず見破れる方法を身に着けていると思っているかもしれません。

 一方、実際に被害に遭った方のお話をうかがうと、「不審なメールにはいつも気をつけていて、普段なら見破って絶対に無視するのに、今回は入力してしまった」という方が少なからずいらっしゃいます。

 なぜそのときは見抜けなかったのでしょうか?それは「偶然、思い当たることがあるタイミングに連絡がきた」からのようです。例えば、いつもと違う振込先にお金を振り込んだとき、注文していた商品が届く予定があるとき、新しいスマートフォンに切り替えたとき、料金の支払いに登録しているクレジットカードの有効期限が切れるときなどです。普段なら「そんな連絡が来るはずない」と無視できますが、連絡が来るかもしれないような状況にあると、つい信用するようです。

 また、フィッシングメールの文面は、受信者に正常な判断力を失わせるために、緊急性をうたい、気持ちを焦らせる書きぶりとなっています。深夜や早朝、疲れているときなどにこのようなメッセージを見ると、さらに判断力が鈍り、いつも気がつく見破りポイントを見過ごしてしまう可能性があります。

 次回以降はフィッシングメール、フィッシングサイト、被害状況の事例をまじえながら、個人がどう対策していけばよいかについてお伝えしたいと思います。

●フィッシングの英語つづりは「Fishing」ではない
 フィッシング(Phishing)は、1996年頃、America Online(AOL)のアカウントとパスワードを盗むハッカーが作った造語だそうです。インターネットを「海」、フィッシングメールを「ルアー」、詐取する情報を「魚」と「釣り」になぞらえて作った表現のため、英語のづづりは「Fishing」だと思いがちですが「F」ではなく「Ph」が使われています。これはハッカーが「Phone Phreaking」(電話の不正利用)という造語のように、「F」を「Ph」へよく置き換えていたためだそうです。

参照「意外に知られていない、情報詐取を意味する「フィッシング」は「Fishing(釣り)」のことでは無い」
https://blogos.com/article/88142/

引用資料)

「月次報告書」(フィッシング対策協議会)※各月報告値を集計してグラフ化

→https://www.antiphishing.jp/report/monthly/

「クレジットカード不正利用被害の発生状況」(一般社団法人日本クレジット協会)※表をグラフ化

→https://www.j-credit.or.jp/information/statistics/download/toukei_03_g_191227.pdf

「フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について(全銀協等と連携した注意喚起)」(警察庁)

→http://www.npa.go.jp/cyber/policy/caution1910.html

吉岡 道明(よしおか みちあき) 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) シニアアナリスト。長年、システム開発に従事した後、2007年から情報セキュリティ業界へ。サイバー空間の事故対応等を行うセキュリティコンサルタントとして活動後、2018年からJPCERT/CCに着任。フィッシングの報告受付窓口業務に携わる。

平塚 伸世(ひらつか のぶよ) 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) 情報セキュリティアナリスト。メッセージング関連企業で開発支援、サーバ構築・運用を行い、メール関連プロトコルの技術書の監訳等にも携わる。その後、JPCERT/CCに着任し、システム管理業務を経て、2015年より主業務としてフィッシングの報告受付窓口対応を担当。
※日経BizGateの記事を無料で定期的にお届けする会員登録をおすすめします。メルマガ、印刷ページ表示、記事クリッピングなどが利用できます。登録はこちらから

キーワード:経営・企画、経営層、管理職、経営、技術、製造、プレーヤー、ICT

閲覧履歴

    クリッピングした記事

    会員登録後、気になる記事をクリッピングできます。