近年のフィッシング詐欺 (2018/6/27 セキュリティレポート)
今回はフィッシング詐欺についての記事です。
そもそもフィッシング詐欺とは、送信者を詐称したメールから偽のホームページに接続させたりするなどの方法で、個人情報(主にクレジットカード情報、インターネットバンキングやECサイトのアカウント情報等)を盗み出す行為のことを言います。
インターネットバンキングでは事業者側の対策が進み、被害額が減少傾向にあるそうですが、その一方で、手口の巧妙化が進んでいます。
近年のフィッシング詐欺の特徴
(1)SSLサーバ証明書の利用
SSLサーバ証明書は「ドメイン認証型(DV)」「実在証明型(OV)」「EVタイプ(EV)」の3種類があります。そのうち「ドメイン認証型(DV)」は組織情報の審査がなく、さらに低価格(もしくは無償)で発行可能で、フィッシングサイトでの利用も増えており、全体の15%以上で利用されているそうです。「URLが”https”で始まっていれば安全だ」とは言えなくなりつつあります。
(2)SMSの利用
従来、フィッシングは、メールの発信が中心でしたが、携帯電話番号に短文メッセージを配信するSMS(ショートメッセージサービス)が利用される手口が増えています。
海外では「サービス利用者側で任意の発信元名を設定できる」「サービス利用開始にあたり利用者の審査が不要」というSMS配信事業者が存在しているそうです。つまり、発信元名では正規の送信元かが判別できず、慎重に対応する必要があります。
利用者の対策
以下に一般的な利用者側の対策を記載しますのでご参考ください。
【パソコンやモバイル端末は、安全に保つ】
| 重要度 | 対策の概要 |
|---|---|
| ◎ | ソフトウエアは信頼できるサイトからインストールする |
| ◎ | 最新のソフトウエアを利用する |
| ◎ | セキュリティ対策ソフトウエアの機能を理解し適切に用いる |
| ○ | 端末の利用には一般ユーザアカウントを利用する |
| ○ | URLフィルタリングを活用すること |
【不審なメールに注意する】
| 重要度 | 対策の概要 |
|---|---|
| ◎ | 個人情報の入力を求めるメールを信用しない |
| ◎ | メールに記載される差出人名称は信用しない |
| ◎ | 怪しいメールの判断基準を知る |
| ◎ | 安全なメールサーバを活用したり、類似性評価によるフィッシングメール判別機能を活用すること |
| ◎ | リンクにアクセスする前に正規メールかどうか確認する |
【電子メールにあるリンクはクリックしないようにする】
| 重要度 | 対策の概要 |
|---|---|
| ◎ | 正しいURLを確認する |
| ◎ | 電子メール本文中のリンクには原則としてアクセスしない |
| ◎ | 錠前マークを確認する |
| ○ | Webサイト運営者からの通知メール形式をTEXT形式に設定する |
【アカウント情報の管理】
| 重要度 | 対策の概要 |
|---|---|
| ◎ | アカウントID/パスワードはWebサイト運営者別に設定すること |
| ◎ | アカウント管理ソフトウエアを導入する |
| ◎ | 全てのアカウントについて緊急連絡先を把握しておくこと |
※本記事は以下の文献を参考に作成しています。こちらもぜひご参照ください。
・フィッシング対策協議会「フィッシングレポート」
・フィッシング対策協議会「フィッシング対策ガイドライン」(PDFファイル)
