近年のフィッシング詐欺 (2018/6/27 セキュリティレポート)
今回はフィッシング詐欺についての記事です。
そもそもフィッシング詐欺とは、送信者を詐称したメールから偽のホームページに接続させたりするなどの方法で、個人情報(主にクレジットカード情報、インターネットバンキングやECサイトのアカウント情報等)を盗み出す行為のことを言います。
インターネットバンキングでは事業者側の対策が進み、被害額が減少傾向にあるそうですが、その一方で、手口の巧妙化が進んでいます。
近年のフィッシング詐欺の特徴
(1)SSLサーバ証明書の利用
SSLサーバ証明書は「ドメイン認証型(DV)」「実在証明型(OV)」「EVタイプ(EV)」の3種類があります。そのうち「ドメイン認証型(DV)」は組織情報の審査がなく、さらに低価格(もしくは無償)で発行可能で、フィッシングサイトでの利用も増えており、全体の15%以上で利用されているそうです。「URLが”https”で始まっていれば安全だ」とは言えなくなりつつあります。
(2)SMSの利用
従来、フィッシングは、メールの発信が中心でしたが、携帯電話番号に短文メッセージを配信するSMS(ショートメッセージサービス)が利用される手口が増えています。
海外では「サービス利用者側で任意の発信元名を設定できる」「サービス利用開始にあたり利用者の審査が不要」というSMS配信事業者が存在しているそうです。つまり、発信元名では正規の送信元かが判別できず、慎重に対応する必要があります。
利用者の対策
以下に一般的な利用者側の対策を記載しますのでご参考ください。
【パソコンやモバイル端末は、安全に保つ】
重要度 | 対策の概要 |
---|---|
◎ | ソフトウエアは信頼できるサイトからインストールする |
◎ | 最新のソフトウエアを利用する |
◎ | セキュリティ対策ソフトウエアの機能を理解し適切に用いる |
○ | 端末の利用には一般ユーザアカウントを利用する |
○ | URLフィルタリングを活用すること |
【不審なメールに注意する】
重要度 | 対策の概要 |
---|---|
◎ | 個人情報の入力を求めるメールを信用しない |
◎ | メールに記載される差出人名称は信用しない |
◎ | 怪しいメールの判断基準を知る |
◎ | 安全なメールサーバを活用したり、類似性評価によるフィッシングメール判別機能を活用すること |
◎ | リンクにアクセスする前に正規メールかどうか確認する |
【電子メールにあるリンクはクリックしないようにする】
重要度 | 対策の概要 |
---|---|
◎ | 正しいURLを確認する |
◎ | 電子メール本文中のリンクには原則としてアクセスしない |
◎ | 錠前マークを確認する |
○ | Webサイト運営者からの通知メール形式をTEXT形式に設定する |
【アカウント情報の管理】
重要度 | 対策の概要 |
---|---|
◎ | アカウントID/パスワードはWebサイト運営者別に設定すること |
◎ | アカウント管理ソフトウエアを導入する |
◎ | 全てのアカウントについて緊急連絡先を把握しておくこと |
※本記事は以下の文献を参考に作成しています。こちらもぜひご参照ください。
・フィッシング対策協議会「フィッシングレポート」
・フィッシング対策協議会「フィッシング対策ガイドライン」(PDFファイル)