文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    フィッシング件数は減少も手口は巧妙かつ複雑に

     金融機関などになりすましてパスワードなどを盗み出す「フィッシング」の被害統計が発表された。旧来型のフィッシングは減少しているが、ウイルスによる高度な手口を使ったネットバンキング不正送金などの被害は拡大している。

    なりすましでパスワードを盗み取る「フィッシング」の被害は前年より半減

    • 2015年のフィッシング届け出件数(フィッシングレポート2016)
      2015年のフィッシング届け出件数(フィッシングレポート2016)

     フィッシング(phishing)とは、犯罪者が銀行やクレジットカード会社になりすましたメッセージを送り、被害者のパスワードなどを盗み取る詐欺行為のこと(狭義のフィッシング)。このフィッシングの被害状況をまとめた「フィッシングレポート2016(フィッシング対策協議会)」が発表された。

     フィッシング対策協議会に寄せられたフィッシング届け出件数は左のグラフの通りだ。2014年にピーク(2万2411件)を迎え、2015年は約半分(1万1408件)にまで減っている。だますためのフィッシングサイトも0.7倍に減少(2014年:4146件→2015年:2995件)し、悪用された企業のブランド名でも微減(2014年:172件→2015年:164件)となった。

     月別の届け出件数では、1月・4月・12月に急増している。1月はオンラインゲームのフィッシング、4月は金融機関、12月は複数の金融機関のフィッシングの報告が多かった。フィッシング対策協議会によれば「高水準の届け出が継続するのではなく、急増したかと思えば急激に減少するなどの状況がみられる」としている。犯罪グループの動きによるものかもしれない。

    • 月別のフィッシング届け出件数(フィッシングレポート2016)
      月別のフィッシング届け出件数(フィッシングレポート2016)

     被害は落ち着いたように見えるが、実際にはそうではない。この数字は「狭義のフィッシング」(フィッシングレポート2016)であり、広い意味でのフィッシング被害はネットバンキング不正送金を中心に被害が拡大している。

     警察庁によれば2015年のネットバンキング不正送金の被害額は、30億7300万円と史上最悪の数字になっている。主な手口はウイルスによるID・パスワードの窃取であり、これを広い意味でフィッシングとするならば、被害額は増えているのである。

    クレジットカード不正利用も増加。海外では盗んだクレカ番号を現金化するツールも

     5月末に起きたセブン銀行ATMでの14億円不正引き出し事件が問題になっている。海外で起きたと思われるクレジットカード番号の流出データから、国内のATMで14億円が引き出されたものだ。ATMのメンテナンス明けを狙って一気に大量の現金を盗みだす手口などから、大規模な犯罪グループによるものと推測されている。

     セブン銀行ATMの事件はフィッシングではないが、大規模な犯罪グループがクレジットカード番号から荒稼ぎする手口はフィッシングでも行われている。「フィッシングレポート2016」では、盗んだクレジットカード番号情報を現金化するツールを例として取り上げている。

    • クレジットカード番号情報現金化ツール「VOXIS」のダッシュボード画面(フィッシングレポート2016・EMCジャパンRSA事業本部)
      クレジットカード番号情報現金化ツール「VOXIS」のダッシュボード画面(フィッシングレポート2016・EMCジャパンRSA事業本部)

     この「VOXIS」という不正なツールは、犯罪者が架空のショッピングサイト事業者を名乗り、14か所のクレジットカード決済代行サービス業者から現金を盗み出す不正ツールだ。盗んだカード情報を使い、ショッピングサイトで取引があったように装うことによって決済代行業者(最終的には盗まれたカード所有者)から現金を窃取する。フィッシング対策協議会によれば「犯罪者から見ると、クレジットカード番号を登録するだけで自動的に現金がたまっていくという効率の良い犯罪が可能になる」とのこと。

     クレジットカード不正使用の被害額は、2015年が約120億円で、前年の約113.9億円より5%増加している(日本クレジット協会による)。フィッシングによる割合はわからないが、クレジットカード犯罪が増えていることが明らかだろう。

     「フィッシングレポート2016」では、この他にフィッシングの新しい手口として、以下のような例を挙げている。

    • SMSによるフィッシング例(フィッシングレポート2016・ジャパンネット銀行)
      SMSによるフィッシング例(フィッシングレポート2016・ジャパンネット銀行)

    ●SMS(携帯電話番号でのメッセージ)を使ったフィッシング

     メールだけでなく、携帯電話番号のショートメッセージサービス(SMS)を使ったフィッシングも行われている。パスワードの変更を要求するSMSを送り、メッセージ内のURLから偽サイトへ誘導してパスワードなどを盗み出そうとするものだ。フィッシング対策協議会によれば「SMSは送信に費用がかかることや端末認証のときに利用されるなど、フィッシングには使われないと思い込んでいる利用者も少なくない。その思い込みにつけこんだ手法」として注意を呼びかけている。

    ●ウイルスが常駐しないネットバンキング不正送金の手口

     2014年末から2015年初めに「TROJ_WERDLOD」というウイルスが確認されている。ネットバンキング不正送金ツールなのだが、巧妙なことに感染後に自身を削除し、セキュリティー対策ソフトの検知を逃れようとする。具体的には以前の記事にまとめているが、パソコンでのネットの接続先を犯人が用意した不正なものに変更(プロキシサーバーの変更)した上で、接続先の安全を確認する証明書の偽造(不正なルート証明書の導入)も行う。これによりウイルスの常駐なしに、ネットバンキングの不正送金を行うという巧妙な手口だった。

    参考:オンライン銀行詐欺ツールで巧妙な新手口:サイバー護身術

    • 金融機関を狙ったスマートフォン向けウイルス「iBankingの管理画面」(フィッシングレポート2016・EMCジャパンRSA事業本部)
      金融機関を狙ったスマートフォン向けウイルス「iBankingの管理画面」(フィッシングレポート2016・EMCジャパンRSA事業本部)

    ●金融機関を狙ったスマートフォン向けマルウェア「iBanking」

     スマートフォンでの不正送金ツールも発見されている。「iBanking」はスマートフォンに常駐して情報を盗みだすもので、金融機関からの正規のSMSを犯人に転送する、通話内容を録音するなどの遠隔操作が可能なものだ。筆者の知る限り日本での被害は確認されていないが、今後は国内でも警戒する必要があるだろう。

    メールやSMS・メッセージのURLリンクを信用するな

     このようにフィッシングの手口は進化しているが、金融機関側の対策が追いついていないのが現状だ。安全性の高いワンタイムパスワードの導入が進められているものの、地方銀行や信用金庫・信用組合では対応できていないところも多い。金融機関側の安全対策だけでは守ることができないので、私たちユーザーもフィッシング・ネットバンキング不正送金対策を講じる必要がある。

    ★フィッシングとネットバンキング不正送金対策

    ・行動前に「ちょっと立ち止まって考えよう」=STOP.THINK.CONNECT.

     ネットを安全に利用するための心がけとして、「STOP.THINK.CONNECT.」というキーワードが世界的に呼びかけられている。日本語にすれば「接続する前にちょっと立ち止まって考えよう」という意味。メールのURLリンクをクリックするなどの行動前に、ちょっと立ち止まって「本当に大丈夫なのかな?」と考える習慣をつけよう。

    ・メールやSMS・メッセージのURLリンクはクリックしない

     金融機関やクレジットカード会社を名乗るメール・SMS・メッセージに注意。URLリンクはクリックしないこと。本物か偽物か判断するのは難しいので、URLリンクはクリックせずに自分で正規のサイトへアクセスして確かめよう。

    ・ソフトウェアを最新版にすること

     OS、ブラウザー、Flash、PDF、Javaなどのソフトウェアを常に最新にすること。自動更新にし、通知が出たらすぐに更新しよう。

    ・セキュリティー対策ソフトを必ず利用

     ネットバンキング不正送金被害の多くはウイルスが原因だ。ウイルス感染を防ぐために、セキュリティー対策ソフトを必ず導入し、自動更新にして最新のパターンファイルすること。体験版では意味がなく、契約して自動更新にする必要がある。WindowsだけでなくMacでも導入すべし。Androidでも導入を勧める。

     以上のことを守って、ネットバンキングやクレジットカード不正利用の被害を防止したい。フィッシング対策協議会では「マンガでわかる フィッシング詐欺対策5ヶ条」として、わかりやすい対策マンガを公開しているので参考にしてほしい。

    参考記事

    ネットバンキング30億円被害…背景に対策の甘さ:サイバー護身術
    郵政偽メールはネット銀行ウイルスだった:サイバー護身術
    フィッシングレポート2016:フィッシング対策協議会

    2016年06月03日 15時18分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP