絶えないフィッシング詐欺の脅威

更新日:2025.01.09 投稿日:2025.01.09 サイバー脅威

フィッシング詐欺は、1990年代初頭から存在している「古典的」とも言えるサイバー犯罪ですが、いまだに衰えることなく、ますます猛威を振るっています。インターネットとオンラインサービスの進化と共に進化を遂げており、初期の単純な手法から、現在では非常に巧妙で多様化した攻撃手法が登場しています。今回は、この絶えることのないフィッシング詐欺の脅威について説明します。

フィッシングとは

フィッシング詐欺では、銀行やECサイトなどに成りすました偽のメールを送り、そのリンクから攻撃者が準備した偽サイト(フィッシングサイト)に誘導します。そしてユーザーがそのサイトにアクセスし、パスワードやクレジットカード番号を入力すると、情報が盗まれてしまうのです。また、マルウェアを利用して感染させる手法もあります。

攻撃は心理的な操作を重視しており、受信者に「今すぐ行動しなければならない」という緊急性や、「信頼できる機関からの連絡だ」と思わせることを狙っています。例えば、「アカウントがロックされたので確認してください」といった内容や、「支払い情報の確認が必要です」といったメッセージは、受信者に不安や焦りを与え、心理的に無防備な状態にさせます。

メールという「餌」を使って、ユーザーの重要な個人情報を「釣り上げる」というイメージから、フィッシング(Phishing)と呼ばれるようになりました。総務省の「国民のためのサイバーセキュリティサイト」では、魚釣り(Fishing)と洗練(Sophisticated)から作られた造語と説明しています。ちなみに、フィッシングの語源には諸説あり、「Fishing」の「F」が「Ph」に変わったのは、ハッカー界のスラングであることからきているとも考えられており、また別の説では「Password harvesting fishing」(パスワード収集の釣り)とも言われています。

日本では、2004年12月に最初のフィッシング詐欺被害が報告されました。翌2005年4月には経済産業省が「フィッシング対策協議会」を設立し、被害を未然に防ぐことを目的とした情報収集や普及啓発活動を開始しています。しかし現在に至っても、警察庁サイバー警察局発行の「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」を見ても分かるように、その勢いはますます増しています。

なぜフィッシングの勢いが増しているのでしょう?

① 攻撃者にとって低い技術的敷居
フィッシング詐欺は、他のサイバー犯罪と比べて技術的に難易度が低く、手軽に始められる犯罪行為と言われています。攻撃者は、偽のメールを作成してリンクを送るだけで良いため、サイバー犯罪者が大規模に攻撃を仕掛けやすいという側面があります。攻撃者は、偽のメールやウェブサイトを作成するためのツールを簡単に手に入れ、スピーディーに広範囲な攻撃を仕掛けることができます。

② オンラインサービスの普及と依存
インターネットを利用したオンラインサービス(銀行、ショッピングサイト、クラウドサービスなど)の利用が増える中で、ユーザーが個人情報をオンラインに入力する機会が増加しています。フィッシング攻撃者はこれを狙い、信頼できるサービスになりすまし、ログイン情報やクレジットカード情報を盗み取ろうとします。特にスマートフォンやモバイルデバイスの普及により、フィッシング詐欺はさらに身近で巧妙な手法として展開されるようになりました。

③ 手法の多様化
フィッシング詐欺は、従来からのメールを使った手口から、SMSを利用した「スミッシング(Smishing=SMSとPhishingからの造語)」や、電話を使った「ビッシング(Vishing=VoiceとPhishingからの造語)」にまで広がりを見せています。これにより、攻撃者はターゲットを選ぶ方法や手段を柔軟に変更し、そして精巧な偽装を施してきています。
スミッシングでは、運送会社や携帯キャリアなどを装って偽のSMSを送り、リンクをクリックさせて偽サイトに誘導しますが、スマートフォンの普及に伴い、急速に増加しています。多くの人々はSMSに対して、メールよりも信頼感を抱きやすいため、被害が拡大しやすいのです。
またビッシングでは、攻撃者は公的機関や企業になりすまし、緊急性を装って個人情報を引き出そうとします。電話を利用することで信頼感を与えやすく、多くの人々が騙される傾向にあります。

④ 手法の巧妙化
フィッシング詐欺では、攻撃者は信頼できる第三者(銀行、ECサイト、運送会社、公共機関など)になりすましてターゲットを欺きますが、メールやSMSに公式っぽいロゴやデザインを使って、受信者がそれを本物だと信じやすくし、リンクをクリックしたり個人情報を入力させたりします。企業や銀行を装って送られるメールが非常にリアルに見えるため、被害者がその内容を見抜くのが難しくなっています。

⑤ ターゲットの増加と効果的な標的設定
フィッシング詐欺は、広範囲にわたって不特定多数をターゲットにすることができるため、非常に効率的です。攻撃者は大量のユーザーに攻撃を仕掛け、その中から少数でもターゲットにした情報を取得できれば成功とします。
一方、「スピアフィッシング(Spear Phishing)」と呼ばれる、槍(Spear)で特定の企業や個人を狙うような攻撃も増加しており、これにより成功率が高まっています。この場合、攻撃者はターゲットの個人情報を事前に収集して、より個別化されたメールを送る手法が増えているため、被害に遭うリスクも増加しているのです。

⑥ サイバーセキュリティ対策の不十分さ
多くの企業や個人がサイバーセキュリティ対策を強化しつつありますが、依然としてフィッシング攻撃に対する認識が不十分であることも問題です。例えば、従業員への教育やメールフィルタリングなどの対策が不十分な場合、スピアフィッシングやマルウェアの拡散が容易に行われ、企業や個人に大きな被害をもたらします。また、個人でもフィッシング詐欺に対する警戒心が薄い場合があり、攻撃者はこの点を突いてきます。

⑦ グローバル化と新たな脅威
フィッシング詐欺は、国際的に行われることが多く、攻撃者は世界中からターゲットを狙います。これにより、地域ごとに異なる攻撃手法が使われるなど、手口が多様化しています。また、国際的な犯罪組織が関与するケースも増えており、フィッシング詐欺はますます大規模化しています。

⑧ 被害者が気づきにくい
フィッシング詐欺の被害者は、個人情報が盗まれても、最初は小さな損害しか発生しないことがあり、気づかずにそのまま被害が広がることも多々あります。攻撃者は盗んだ情報を後日悪用し、何ヶ月も経った後に不正利用されて初めて被害に気づくケースもあるのです。

スピアフィッシングによる狙い撃ち

フィッシングが広範囲にわたる不特定多数の人々を対象にした攻撃であるのに対し、スピアフィッシングは個別の特定ターゲット—企業の従業員や特定の個人—を狙って行われます。攻撃者はターゲットの職業や業務内容、私生活に関する情報を事前に収集し、個人に関連した内容を含んだカスタマイズされたメールやメッセージを送ることで、ターゲットを騙しやすくします。

特に企業や組織を狙ったスピアフィッシングでは、攻撃者は従業員の役職や人間関係を把握した上で、上司や同僚を装ったメールを送信します。従業員が通常の業務の一環として受け入れやすい内容で作成されるため、発覚するまでに時間がかかることが多く、攻撃者は偽の請求書や業務指示書を送信し、従業員に不正な操作をさせることがあります。特に機密情報や財務情報を扱う部署をターゲットにすることが多く、その結果、企業は深刻な経済的損失や信用の失墜を被るリスクもあります。

このように、スピアフィッシングは特定のターゲットを狙う攻撃手法として、従来のフィッシングよりもはるかにリスクが高く、企業のセキュリティにとっては重大な脅威となっているのです。

フィッシング詐欺への対策

フィッシング詐欺は、ターゲットの注意を引くために緊急性や信頼性を装い、深く考えずに行動させることが狙いです。不審なメールやSMSのリンクは絶対にクリックしないで、公式サイトやアプリから確認することが基本的な対応策です。

またビッシング対策としては、知らない番号からの電話には出ず、重要な情報は電話で伝えないように徹底します。

そして、特にスピアフィッシングを防ぐためには、以下の対策が有効です。

  1. 従業員の教育とトレーニング:スピアフィッシングはターゲットを個別に狙うため、従業員が巧妙な攻撃に気づかない場合があります。定期的なセキュリティトレーニングを実施し、疑わしいメールの特徴や行動パターンを把握させることが重要です。
  2. 二要素認証の導入:万が一、スピアフィッシングによってログイン情報が漏洩した場合でも、二要素認証(2FA)を導入していれば、アカウントへの不正アクセスを防ぐことができます。
  3. メールの検証と確認:重要な指示や送金依頼などを受け取った際には、必ず発信者に直接確認することを徹底しましょう。電話や他の確認手段を使って、メールの信憑性を確認することが効果的です。
  4. セキュリティソフトとフィルタリングツールの利用:メールサーバーやシステムにセキュリティソフトやフィルタリングツールを導入し、悪質なリンクや添付ファイルを事前にブロックすることも有効です。

まとめ

フィッシング詐欺は、巧妙な手口で個人情報を盗み出すサイバー犯罪です。メール、SMS、電話など多様な手段で、信頼できる機関になりすまし、緊急性や信頼性を強調してユーザーを誘導してきます。オンラインサービスの普及、攻撃者の技術向上、そしてターゲットへの心理的な操作など、様々な要因が重なり、被害は拡大の一途を辿っており、慎重な対応が求められます。

「不審なメールやSMSのリンクは絶対にクリックしない」で、あらかじめ「お気に入り」や「ブックマーク」に登録しておいた公式サイトや、公式アプリを活用して正しいサイトに接続するという基本事項を今一度徹底し、フィッシング詐欺に騙されないように注意しましょう。

情報セキュリティのお悩みは、VoltaNetworksにご相談ください。お客様ごとのカスタマイズサービスで、柔軟に対応いたします。初めての方には専門家による無料相談も行っております。

VoltaNetworksは、情報セキュリティに特化した専門的なアドバイスとサービスを提供しています。大手SIerやセキュリティソフトウェアメーカーで豊富な経験を持つ専門家が、お客様の課題解決のために最適なソリューションを提案します。最新のセキュリティ技術とベストプラクティスに精通した私たちは、企業のデジタル資産を確実に保護するための包括的な戦略を提供します。

【提供サービス】
パートナーCISO・CIO | セカンドオピニオン | 標的型攻撃訓練 | 規定・ハンドブック作成 | 構築支援/運用支援 | 事業継続計画 IT-BCP | CSIRT/SOC構築支援 | セキュリティ診断 | 研修・リテラシー向上