企業情報

2021.05.12

フィッシング詐欺の被害にあわないためにできること

フィッシング詐欺の被害にあわないためにできること

実在する企業をかたったメールやショートメッセージ(SMS)などで偽のサイトに誘導し、IDやパスワードを盗み取る「フィッシング」の2020年の報告件数は計22万4676件に上り、2019年の約4倍に急増したことが、フィッシング対策協議会のまとめでわかりました。これは、新型コロナウイルスの感染拡大に伴う外出自粛によるECサイトの利用増加なども背景にあるとみられています。

今回は、フィッシング詐欺の被害にあわないためにできること、ヤフーのフィッシング対策の取り組みなどについて聞きました。

画像
大角 祐介(おおすみ ゆうすけ)
コンシューマ向けセキュリティサービスのシステム開発、セキュリティ診断(脆弱性診断)サービスの業務などに従事後、2016年入社。現在はCISO室Yahoo Japan Corp. CSIRT(情報セキュリティ問題を専門に扱うインシデント対応チーム)に所属し、全社の脆弱性検査やインシデント対応を担っている。

業務の内容:
「午前中は脆弱性情報の収集を行い、危険なものがあれば社内にアナウンスをするなどの作業を行うことが多いです。午後は、最近さらに重要になっている脅威インテリジェンス(脅威の防止や検知に利用できる情報の総称)と呼ばれる分野の情報収集のため、今増えているサイバー攻撃などに関するレポートの確認をできる限り行っています。また、海外のリサーチャーと情報交換することもあります。

セキュリティ系はどうしてもテクニカルな部分に意識が向きがちになりますが、必ずその後ろにはサイバー犯罪者がいます。そして、彼らは生活のために24時間365日の全てをこの攻撃に充ててきますし、かつ、彼らは法律を守りません。そんな中で、私たちは全ての法律を守った上で戦わなければならないので、もちろん難しい戦いとなることはあります。でも、そういう時は被害にあってしまった方のSNS投稿などを見て、『こんなにフィッシング詐欺に引っかかってしまっている人がいるのだから、戦い続けなければ』と気持ちを新たにしています。」

フィッシングサイトとは?

「フィッシング」とは、インターネットのユーザーから経済的価値がある情報(例: ユーザー名・パスワード・クレジットカード情報)を奪うために行われる詐欺行為のことです。
メールやSMSで本物そっくりの偽サイトに誘導して、パスワードやクレジットカード情報などを盗み出す行為のことをフィッシング詐欺といい、この誘導先である偽サイトを「フィッシングサイト」、フィッシング詐欺に使われるなりすましメールを「フィッシングメール」と呼びます。

1)公式サイトをコピーしたサイト
IDやパスワード情報を詐取するために公式サイトをコピーしただけのものです。サイト利用者がIDやパスワード以外に2要素認証を設定していれば、犯罪者が不正を働くことができません。
犯人はただフィッシングサイトを置いて待っているだけで、そこにIDとパスワードが入れられていくので、そのリストが出来上がったら他のところに売る目的などで行われているものです。

2)裏で犯罪者が待ち構えているサイト
この手法は2019年ごろ、特に銀行のフィッシングサイトで多く使われました。銀行のサイトはログインだけでは預金残高の確認などしかできず、振り込みのときに初めてワンタイムパスワードが必要になるというパターンが多いのですが、原理的には意外と簡単に攻撃できてしまいます。 だまされたユーザーが偽サイトへと入力したIDとパスワードを犯罪者が中継し、正規サイトへと入力する攻撃を、セキュリティ用語では「中間者攻撃」と言います。
そして、今入れられたばかりのID・パスワードを本物の銀行のサイトに入力し、素早く振り込み直前まで進めておきます。被害者には次に、振り込み実行に必要なワンタイムパスワードを入れてください、という画面を表示します。
すると、そこに被害者がワンタイムパスワードも入れてしまうので、今度はそれを見て急いで本物の銀行サイトに入力すれば、たとえ2要素認証でワンタイムパスワードが有効になっていても突破できてしまう。これは、今でも見られる攻撃です。

特にここ1年ぐらいで、クレジットカード会社さんのフィッシングサイトがかなり増えています。いくつか理由はあると思うのですが、単純にクレジットカードの情報を盗んだほうが楽だからというのがあると思います。
最近はID・パスワードを入れさせるフィッシングサイトと見せかけて、実はその次の偽画面でクレジットカード情報が欲しいだけ、というフィッシングサイトもよく見られます。

画像

「フィッシングサイト=詐欺」詐欺はなくならない

フィッシングサイトは要するに詐欺です。「詐欺」というもの自体は、おそらくかなり昔からあるものが今も続いているため、詐欺行為自体は今後もなくならない可能性があります。もちろん、詐欺行為自体を止める活動はヤフーとしても継続していますが、ユーザーのみなさんにも詐欺に引っかからないための知識を身につけてほしいと思います。

たとえば「特殊詐欺」、いわゆる「オレオレ詐欺」と呼ばれる詐欺については、警察がいろいろな場所で「それは本当にあなたの息子さんですか?」などという内容のポスターを貼っていますよね。ニュース番組などでも定期的に注意を呼び掛けています。
実は、フィッシング詐欺もオレオレ詐欺と構造は同じです。

普通のオレオレ詐欺は、犯罪者が電話を使って被害者に連絡します。そして、基本的にはお金が盗られます。フィッシング詐欺では、電話だった部分がメールやSMS、ウェブサイトになり、盗られるものはID・パスワードやクレジットカード情報です。
結局、詐欺なのは同じで、連絡をする手段が電話からメールなどになっただけなので、何も特殊なことではありません。

たとえば、みなさんが突然「警察署のものです」という訪問を受けたら、これは本当に警察の人だろうか、と疑ったり、「俺だけどちょっと事故を起こしちゃって」という連絡を受けたら、これは本当に私の息子か? と確認したりしますよね。それと同じように、たとえば使ったことがあるECサイトを騙っているメールが来たら、「これは本当にそのサイトからのメールなのか?」と疑ってみる。本当にそれだけでいいです。
フィッシング詐欺と聞くと、なんだか特殊なものという印象から、特別な知識が必要だという方向で取り上げられがちですが、そうではなく、むしろ単純に考えてほしいです。

画像

先ほどの例で「警察署から来ました」という訪問に対しても、どこの警察署から来たのかとたずねて、該当の警察署に本物かどうか確認できますよね。フィッシング詐欺もそれと同じです。たとえばなにか荷物が届きます、というメールがきたら、まずその会社の公式アプリやサイトで確認してみてください。また、不安なら、最近はどこのカスタマーサポートセンターも、「このメールは本物ですか」と聞けば最近はどの企業も必ず答えてくれます。実際、ヤフーにも「このメールは本物ですか」という問い合わせが届いています。

フィッシング詐欺から身を守るためにわたしたちができること

1)よく使うサイト、アプリをブックマーク、インストールしておく
まず、ご自身がよく使う銀行や各種サービスなどの公式アプリをスマホに入れておく、また、パソコンならよく使うサイトをブックマークしておいてそこから遷移する、ということがとても重要です。

2)判断力が落ちているときはサイトやメールなどを見ない
朝起きたばかりで寝ぼけて怪しいURLをクリックしてしまったとか、あるいは夜、疲れてクリックしてしまった、という声はよく聞きます。実際、朝5時、6時ぐらいに送られるフィッシングメールも多いです。
そのような正常な判断がしにくい時間帯やお酒を飲んだときには特に注意が必要なので、そもそもメールやSMSなどのメッセージを見ないようにする、というのも1つの方法です。

3)メールなどのロゴマークを信用しない
メールを見たときに、文中にそのサービス(会社)のロゴ画像が表示されていると、公式なものだと信じてしまう方が多いようです。視覚的なものの信頼性が強いのだなと思います。
また、そのサービスからのメールなのか不安に感じたときは、使っているサービスのサポートまで問い合わせてみてください。

4)社名が何も書いていないSMSが届いたら無視する
SMSを使ったフィッシングメールは2018年ごろからずっと使われている詐欺行為ですが、そのころから基本的には同じような文面で送られています。ただ、最初のほうは「こちらは〇〇です」など具体的な企業を名乗っていましたが、犯罪者もいろいろ試行錯誤して、文面を少しずつ変えています。最近は、社名も書かずに送ってくるパターンが増えています。送信元を曖昧にした方が逆に、文中のURLをクリックしてしまう方が多いようです。
また、普通のメールだと、「あ、なにか来たな」くらいの感じで対応できますが、SMSでメッセージが届くと、急いで確認しなければならない大事な内容が届いたという気がしてしまいませんか? おそらく犯罪者はその心理も狙っていて、SMSで送っているというのが多いのではないかと思います。社名が何も書いていないSMSを受け取ったら、すべて無視し、URLも絶対にクリックしないでください。
また、会社名が書いてあった場合でも、その会社の公式アプリや公式サイトで確認してください。

「フィッシングサイトを見分けることはできない」という前提でいてほしい

最近のフィッシングサイトは巧妙になっているため、「フィッシングサイトを見分けることはできない」という前提でブックマークや公式アプリから公式サイトを訪れることで、リスクを減らすことができます。
以下は、ヤフーのフィッシングサイトの一例です。

画像

このような偽サイトを見ると、みなさん、見た目がとても似ているとか、どうやって見分けたらいいか、という話になりますが、それは少し危険だと思っています。自社が保有しているドメインをすべて言える社員はほぼいないのではないでしょうか? そう考えると、その会社の社員ですらドメインを把握していないのに、ユーザーがその会社のURLを見分けることは不可能です。
そのため、フィッシングサイトを見分けようとはしないでほしいです。とにかく、ブックマークや公式アプリから目的のサービスを訪れてください。見分けることはあきらめてほしい、ということを強くお伝えしたいです。

ネット上の安全を守ることに取り組み続けたい

ネット上での安全を確保するために、まず私たちCSIRTのようなプロフェッショナルがフィッシングサイトを減らすことに取り組んでいきます。そして、こういう詐欺があるので気をつけましょうと呼びかけ、ユーザーのみなさんの知識を底上げしていくためにも尽力していきたいと思っています。

フィッシング詐欺という犯罪は、完全になくなることはないと思っています。いわゆる「オレオレ詐欺」については、認知度が上がっていますが、フィッシング詐欺についてはまだまだ認知度が低いため、「知らなかったから引っかかってしまった」という方も多いです。フィッシング詐欺についての知識を持っている人を増やすことで、被害にあう人を少しでも減らすことが目標です。

近年フィッシング詐欺の被害者として増加しているのは、IT機器が苦手な高齢者だけではなく、実は高校生くらいから20代くらいまでの若者です。子どもには、遅くても小学校低学年ぐらいから「知らない人について行かないように」などと教え始めますよね。
早い子だと中学生くらいからスマホを本格的に使い始めるので、「知らない人についていかない」というのと同じくらい、フィッシングサイトの被害にあわないための知識や伝えることがこれからは必要になるかもしれません。
今後は、今までフィッシング詐欺についての情報がなかなか届いていなかった層に向けての発信なども行っていきたいと思っています。

セキュリティは基本的にリスクの問題なので、常にリスクの低い行動を取っていただきたいです。
そのためには、差出人がよく分からないメールに書かれているURLをクリックするより、検索して出てきた、おそらく公式サイトだと思われるURLクリックした方がリスクを減らせるのは確かです。さらにリスクが低いのは、ブックマークしておいたり公式アプリをインストールしておき、そこからアクセスするということです。常に、リスクが高いか低いかを考え、少しでもリスクが低い行動を取ることを心がけてほしいと思います。

画像

ヤフーのフィッシング対策の取り組み

1)Yahoo!検索

Yahoo!検索では、フィッシングや不正なサイトに対して、検索結果から直接のリンクを制限して警告メッセージを表示するといった、注意喚起や利用抑止を促す仕組みを提供しています。
警告表示の判定に関しては、自社や信頼おける第三者機関によるサイトの安全性に関する情報を追加で参照するなど、ヤフー独自の対策を行っています。

2)Yahoo!メール

ブランドアイコン
Yahoo!メールではフィッシングメールなどに対する取り組みとして、送信元である各企業のブランドアイコンを表示しています。
この取り組みに参加している会社から送信される安全なメールには、ブランドアイコンとして同社ブランドシンボルが表示されます。
メールのブランドアイコン
ブランドアイコン表示企業・サービス

画像
※表示イメージ例「株式会社一休」

ブランドカラー
「Yahoo!メール」が送信ドメイン認証を確認した一部のドメインから受信したメールの送信者アイコンに色が付く機能です。これにより、ユーザーは「ブランドカラー」に対応したドメインからのメールを安心して開封し、確認できます。送信者アイコンに色が付くのはなりすましメール対策がされている約50の企業ドメイン(2021年3月現在)で、今後も順次拡大予定です。

画像

3)パスワードレス

パスワード以外の認証方法が提供されている場合は、指紋認証やSMSで確認コードが届く認証方法を積極的にご利用ください。
ヤフーでは、セキュリティを高めるためにさまざまな認証方法をご用意しています。
Yahoo! JAPAN IDをより安全に、より便利にお使いいただくためのヒント

画像
サイバーセキュリティ対策活動への協力者に感謝状贈呈(一般社団法人JPCERTコーディネーションセンター)
フィッシング対策協議会よりコミュニティにて活躍する有識者に対しチャレンジコイン贈呈を開始 (2020/12/08)

【関連リンク】

このページの先頭へ