フィッシング詐欺の全貌:手口、被害事例、具体的な対策とテイクダウン成功事例
2024年10月30日
インターネットの普及に伴い、フィッシング詐欺が急増しています。この詐欺は、個人情報やクレジットカード情報などの機密情報を詐取し、被害者に経済的な損失を与えるサイバー攻撃の一種です。日々巧妙さを増すフィッシング詐欺は、一般の利用者だけでなく、企業も大きなリスクにさらされています。
本記事では、フィッシング詐欺の概要から主要な手口、被害事例、そして個人および企業が取るべき対策について詳述します。さらに、フィッシングサイトのテイクダウンを通じたセキュリティ強化の成功事例として、株式会社ImprovedMoveのケーススタディも紹介します。これにより、読者の皆様が最新のフィッシング詐欺対策を理解し、実践できるようサポートします。
1 フィッシング詐欺とは?
フィッシング詐欺とは、偽のWebサイトや電子メールを通じてユーザーを騙し、個人情報や金融情報を盗み出す手法です。この名称(Phishing)は、情報を「釣り上げる」ことを意味する"Fishing"と、詐欺を「洗練」させる"Sophisticated"の組み合わせであり、その巧妙さからインターネット犯罪の中でも特に脅威とされています。
フィッシング詐欺の本質を簡潔に言うと、1権威ある機関を名乗り、2安心させたり動揺させたりといった心理的操作(ソーシャルエンジニアリング)を行うことで、3金銭的詐取を行おうとすること、であると言えます。その際の手段として、Eメール、SNS、メッセージアプリ、企業コピーサイト、SNS広告、生成AI、掲示板、動画、フェイク動画、電話、など様々な手段が用いられます。
フィッシング詐欺は主に以下のような方法で行われます
1.1 電子メールやSMSによる誘導
大手企業や金融機関を騙ったメールやメッセージを送信し、ユーザーを偽サイトに誘導します。リンク先のWebサイトは公式サイトとほぼ見分けがつかないほど精巧に作られているため、多くのユーザーが騙されやすくなっています。
ここ数年では法執行機関を名乗るLineアカウントを使い、ニセの逮捕状画像を見せたうえで、「逮捕状が出ているが入金することで解消することができる」、などと脅すことで入金を要求する詐欺手法も登場しています。
1.2 偽のWebサイト
フィッシングサイトは、企業ロゴやレイアウト、デザインなどが本物そっくりに模倣され、ユーザーに正規のサービスだと錯覚させることが狙いです。これには様々な手法が使われ、URLの一部を変えて模倣するもの(タイポスクワッティング)、企業サイトの完全なコピーサイトを運用するもの(サイバースクワッティング)、などがあり、外見での識別は著しく困難なケースが多いです。
最近ではフィッシングサイトでもSSL証明書が発行されHTTPS対応しているものが多く、フィッシングサイトの見分け方として定番とされてきた「鍵マークがついているか、HTTPS対応しているかを確認する」という方法は意味をなさなくなっています。
弊社が最近テイクダウンに成功したケースでも、金融機関のウェブサイトの完全なコピーサイトが作られ、フィッシングサイトへの誘導が行われていましたが、外見は完全なコピーで、URLの違いがほぼ唯一の違い(.co.jpと.comの違い)、といった水準の模倣度での運用がされていまいた。当然「安心安全の」SSL証明書発行済みHTTPS対応であり、フィッシングの手口の洗練が見て取れます。このケースは、タイポスクワッティング[1]とサイバースクワッティング[2]の混合運用、と分類することができます。 SSL証明書発行元は超大手プロバイダーであり、なぜそのようなことがまかり通るのかと疑問が出てくるかと思いますが、この理由は業者側の一種の「社会制度ハック」ともいえる制度ハックの結果、と説明するのが妥当だと考えます。
1.3 SNSや掲示板、オンラインゲーム内での誘導
SNSやオンライン掲示板、ゲーム内メッセージでの誘導も増えつつあります。特に若年層がターゲットになりやすく、被害の多様化が進んでいます。
2 フィッシング詐欺の主な手口
2.1 電子メールを使った詐欺
最も一般的な手口の一つが、電子メールを使った手法です。攻撃者は、信頼できる企業や金融機関を装ってメールを送り、リンクをクリックさせて偽サイトへ誘導します。偽サイトは見た目が本物とほぼ同じであるため、ユーザーはIDやパスワード、クレジットカード番号などの情報を安心して入力してしまいます。
2.2 SMSを悪用した「スミッシング」
近年、スマートフォンが普及する中で、SMSを悪用したフィッシングも増加しています。この手法は「スミッシング」とも呼ばれ、スマートフォン利用者に短縮URLを送信して偽サイトへ誘導します。短縮URLの使用により、リンクの真正性が確認しづらくなり、特に注意が必要です。大手通販会社や金融機関の名を語っているケースが多く、外見上明らかにフィッシングサイトであることがわかるようなURLだけでなく、SNSプラットフォームのURLを経由するケースもあり、巧妙化が進んでいます。
2.3 ソーシャルメディアやオンライン広告
SNSやオンライン広告を利用したフィッシングも多発しています。例えば、SNS広告や投稿に「クーポン」や「無料サービス」などの魅力的なオファーを掲載し、リンクをクリックしたユーザーを偽サイトに誘導します。オンライン広告も正規の広告と区別がつきにくく、偽サイトへ誘導される可能性が高まります。
近年増加の一途を続ける有名人の名を語るSNS投資詐欺広告、などもこの一部に分類することができます。これは、APWG(フィッシング対策協議会)の統計データでフィッシング件数の業界別頻度データにおいて、SNSプラットフォームが1位となっているトレンド[3]とも合致しており、フィッシング業者にとってSNSプラットフォームが「監視の目の届きにくい温床」と化している事実を裏書きしています。SNSプラットフォーマーが正規のインターネットプロバイダーと比べ、テイクダウン対応が甘い、という事実をフィッシング業者側も当然把握しており、結果SNS広告をフィッシングの入口として使うケースが増えていると言えます。
下の図で言うところの「リンク元(ノード)」が何であるかは業者側は歯牙にもかけておらず、釣れればなんでもいいという発想でフィッシングプロジェクトが進められれている、ということを念頭に置くべきです。善良なスクワッティング[4]の話にも通じるポイントですが、フィッシング業者にとって最も高い価値を持つのは、リンクグラフであり、リンク元(ノード)はどうでもいいのです。
3 フィッシング詐欺の具体的な被害事例
3.1 金融機関を騙った事例
多くのフィッシング詐欺は、銀行やクレジットカード会社を装い「不正利用の検出」「口座ロック」「セキュリティリスク」などの理由でユーザーに偽サイトでのログインを促します。実際に、三菱UFJニコスでは「支払い方法の確認」を装った偽サイトへの誘導による被害が報告されています。使われる口実は様々なレベルのものがあり、子どもでも見抜けるようなわかりやすいものから、ソーシャルエンジニアリング(社会工学的手法)[5]がふんだんに使われた「認知戦」レベルのものまで、様々であり、心構えの調整を困難にするという側面があります。
つまり、以前低レベルなフィッシングメールだったからといって油断していると、次に来るフィッシングメールは超高度である、などの場合に「心構えの落差」により引っかかる、という事態がありえます。
3.2 オンラインショッピングサイトの偽サイト
大手通販サイトを装ったフィッシング詐欺も多発しています。Amazonや楽天などの通販サイトに似せた偽サイトで、購入手続きをさせることでクレジットカード情報や住所、電話番号などが詐取されます。これにより、ユーザーは実際の購入のつもりで情報を提供してしまうのです。
3.3 SNSやメッセージアプリを使った個人情報収集
SNSやメッセージアプリを介して送信されたリンクをクリックすることにより、個人情報を詐取されるケースもあります。特に、不正アクセスによってユーザーのアカウントが乗っ取られ、他の友人にも同様の詐欺リンクが広まることがあります。
4 フィッシング詐欺に対する対策
4.1 個人向け対策
対策1 ドメインの確認
メール内のリンクやサイトのURLが公式のものか確認する習慣をつけましょう。不自然なスペルや不明な短縮URLには警戒が必要です。HTTPS対応していないものは当然無視すべきですし、対応していてもクリックはせず、検索エンジン経由でダブルチェックを行う、などの対策が必要です。
対策2 多要素認証の導入
多要素認証(MFA)を設定することで、IDやパスワードが盗まれても、二段階目の認証が必要となり、被害を防ぐことができます。これは万が一入力してしまった場合でも被害を最小化するためにできる防衛策です。
対策3 メール訓練の実施
企業が提供するメール訓練プログラムを利用し、フィッシングメールの見分け方を習得するのも有効です。また避難訓練のような形での「抜き打ちチェック」を社内で行うことで、対応力の向上が図れます。
4.2 企業向け対策
対策1 迅速なテイクダウン対応
万が一、企業がターゲットとなるフィッシングサイトが発見された場合、迅速にテイクダウンを実施し、被害の拡大を防ぐ必要があります。
対策2 従業員教育
フィッシング対策に関する研修を定期的に行い、フィッシングメールの特徴や対応方法についての教育を実施することが重要です。
対策3 フィッシングインフラそのものの無効化
善良なスクワッティングの手法を使い、テイクダウン後にフィッシングインフラを制圧することで、法執行機関との連携を見越した、フィッシングネットワークの一網打尽化を行うことができます。詳しくは、善良なスクワッティングサービス、をご覧ください。
対策4 フィッシング対策ソリューションの導入
企業では、フィッシングサイトの検知および遮断が可能なソリューションを導入することで、従業員や顧客を守ることができます。
5 テイクダウン成功事例:ImprovedMoveのケーススタディ
フィッシング詐欺への対応として、テイクダウンは非常に効果的な手段です。ここで紹介するのは、株式会社ImprovedMoveが行ったフィッシングサイトのテイクダウン成功事例です。
ケーススタディ:金融機関フィッシングサイトの無効化と被害防止
ImprovedMoveは、ある国内金融機関からフィッシングサイトの無効化依頼を受けました。このフィッシングサイトは、金融機関の正規サイトと非常によく似た偽サイトを作成し、ユーザーの個人情報を詐取しようとしていました。ImprovedMoveは迅速な対応により、わずか2日間でフィッシングサイトを無効化し、永久アクセス不可能としました。このプロジェクトにより、金融機関のブランド価値と顧客情報の流出を防ぎ、ROIは1034%に達する驚異的な成果を収めました。
フィッシング対策をお考えですか? ImprovedMoveのテイクダウンサービスは、金融機関からの信頼を得ている実績があります。詳細なケーススタディをこちらからご覧ください。
6 まとめ:フィッシング詐欺への包括的な対策を
フィッシング詐欺は今後も進化し続け、より多くの被害者を出す可能性が高いです。しかし、個人と企業がそれぞれ意識を持ち、適切な対策を講じることで被害を未然に防ぐことが可能です。特に、企業にとっては、迅速なテイクダウン対応や従業員教育が有効な対策となります。
また、ImprovedMoveの成功事例が示すように、フィッシングサイトの早期発見と迅速な無効化は、顧客の安全を守るだけでなく、企業のブランド価値を保護する上でも重要です。フィッシング詐欺対策についてご興味のある方は、ぜひImprovedMoveのテイクダウンサービスをご検討ください。
脚注
- タイポスクワッティング(Typosquatting)とは、ドメイン名のタイポ(誤字)やスペルミスを悪用する手法です。たとえば、公式サイトの「example.com」に対し、「examp1e.com」や「examplle.com」といった似たURLが登録されるケースが典型的です。これらの偽ドメインは、本物と誤認させやすいため、フィッシングサイトの入り口として利用され、ユーザーを偽サイトに誘導して個人情報を詐取することが目的です。
- サイバースクワッティング(Cybersquatting)とは、有名ブランドや企業の名称に似せたドメインを取得し、不正な目的で利用する行為です。フィッシング詐欺では、正規サイトとほぼ同じドメイン(例:official-brand.com に対して official-brand.co.jp など)を登録し、公式サイトと誤認させることでユーザーを偽サイトに誘導する手口として利用されます。また、企業がこの偽ドメインを回収しようとする際、多額の費用を請求する悪質なケースもあります。
- https://docs.apwg.org/reports/apwg_trends_report_q4_2023.pdf
- 善良なスクワッティング(Good Faith Squatting)とは、悪意のある第三者が再取得することを防ぐために、テイクダウン後のフィッシングドメインを取得し、監視や警告のために保持する手法です。フィッシング行為の再発防止や被害者への注意喚起、法執行機関への証拠提供などを目的として、フィッシングドメインを安全な状態で管理し、犯罪収益源であるリンクグラフ全体の無効化と証拠保全を達成します。これにより、フィッシング業者が再度そのドメインを使った詐欺行為を行うリスクを抑え、社会の安全向上に寄与する社会貢献型のアプローチです。文字通り、「善良な」スクワッティングです。詳細はこちらの説明をご覧ください。https://improved-move.com/ja/news/good-faith-squatting-strategy/
- ソーシャルエンジニアリング(社会工学的手法)とは、人間の心理や行動パターンを利用して、機密情報を取得したり、望む行動を取らせたりする技術です。フィッシング詐欺においては、信頼できる組織を装い、相手に「安全である」と感じさせたり、「緊急性」を強調して焦らせたりすることで、偽のWebサイトにアクセスさせるなど、心理的な操作が多用されます。人間の判断ミスや思い込みを狙うこの手法は、サイバー攻撃の一環として頻繁に用いられています。