フィッシング詐欺とは？

フィッシング詐欺は、実在する金融機関やサービスなどに見せかけてIDやパスワードなどのクレデンシャル情報を盗み出そうとする詐欺で、似たような詐欺は古くから存在していました。それがインターネットの普及により、メールやWebサイトの利用が一般的になったことから、「洗練された手口（sophisticated）」と、「釣る（fishing）」を掛け合わせて「フィッシング詐欺（phishing）」と呼ばれるようになりました。現在ではさらに手法が巧妙・洗練化されており、企業の経営層や取引先になりすまし送金指示のメールを送る「BEC Business Email Compromise（ビジネスメール詐欺）」が近年増加しています。

出典：Proofpoint Inc. (https://www.proofpoint.com/jp/blog/email-and-cloud-threats/fbis-ic3-report-financial-losses-email-fraud-increased-nearly-50-just )

フィッシング詐欺は、実在するWebサイトにそっくりの偽サイトを用意し、メールを使ってユーザーを誘導・IDとパスワードなどを入力させて、クレデンシャル情報を盗み取るという手法です。この攻撃には人間心理の隙を突くソーシャルエンジニアリングの手法が用いられており、たとえば銀行やクレジットカード会社を装って「不正なログインを検知したのでアカウントを停止した」「新たなセキュリティ対策を導入した」などという内容のメールを送り、偽のWebサイトへのリンクをクリックさせようとします。他には、オンラインゲームからのお知らせや宅配便の不在通知、ショッピングサイトからの購入確認などになりすますケースも見受けられます。こうしたメールのほとんどは受け手側を焦らせる内容となっており、多くの人が騙されてしまうのです。

出典：総務省フィッシング詐欺に注意 (https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/enduser/security01/05.html)

昨今、フィッシング詐欺は急増しており、さまざまな種類の偽サイトが見られるようになりましたが、最近ではChatGPTなどAI技術も取り込むことで、違和感のない文章を駆使するようになっており、受け手が引っかかる可能性も高まっています。

フィッシング詐欺によって盗み取られたクレデンシャル情報は、アンダーグラウンドの市場で売買され、不正アクセスや他のサービスへのログイン試行に悪用されるのです。また、この種の市場ではサイバー攻撃者向けにフィッシング詐欺に使うツールやクラウドサービスが提供されており、誰でも簡単にフィッシング詐欺が行えるようになっていることも、増加の背景にあると思われます。

フィッシング詐欺の現状

日本の警察庁が発表した最新の報告書によると、2023上半期にインターネットバンキングのIDやパスワードを盗み出すフィッシング詐欺は日本国内で過去最多の2322件発生し、不正に送金された被害額は約30億円に達したと注意を呼びかけています。

同庁によると、2023年上半期のフィッシングに関連する詐欺による被害件数は、すでに過去の年間合計件数を超過しており、被害額は過去最高を記録した2015年の30億7000万円に迫る勢いとなっているとフィッシング詐欺の現状を報告しています。

出典：警察庁/金融庁 フィッシングによるものとみられるインターネットバンキングに係る不正送金
被害の急増について（注意喚起） (https://www.npa.go.jp/bureau/cyber/pdf/20230808_press.pdf)

また、フィッシング詐欺に関する被害急増の背景として、インターネットバンキングが普及し、フィッシングメールの巧妙化が進んでいることがあげられます。インターネットバンキングの中でも、特に実店舗を持たない金融機関は、特に大きな被害を受けています。
 
警察庁は、攻撃が疑われるメールのリンクはクリックせず、個人情報やクレジットカードなどの機密情報は正規URLやアプリから入力するように注意喚起しています。また、警察庁は先月7月に、全国銀行協会を通じてすべての金融機関に対してセキュリティ対策を強化するように要請を行っています。

被害に遭わないためには

フィッシング詐欺メールは、冷静にメールの差出人メールアドレス/件名/本文を確認すれば騙される確率はぐっと低くなります。なぜなら、その多くは「ばらまき型」といって、不特定多数に送信されるものだからです。正式なメールであれば、文面の冒頭などにユーザー名や会員番号などが表示されている場合が多いのですが、フィッシング詐欺のものにはそれがないことがほとんどでしょう。また、本来メールの末尾にあるべき送信元の署名がないこともしばしばあります。文面も、日本語のおかしなところがないように見えても、顧客に送る文章では使わない表現や言い回しが見つかるかもしれません。

しかし、フィッシング詐欺のメールは、アカウント停止や不正ログインなどのような件名や文面に「至急」などの文言を加えることで、受け手の冷静さを失わせようとします。よって、フィッシング詐欺へ対抗するためには、システムだけでなく、人の面での対策、すなわちセキュリティ教育を従業員に浸透させ、それが脅威だと認識し適切な対処ができるようにすることが重要なのです。
 
Proofpoint Security Awareness Training (PSAT)は、標的型訓練メール/セキュリティ教育を組み合わせたSaaS型のソリューションを提供します。Proofpoint PSATには、診断(訓練メール、知識評価)、トレーニング、通報、レポート4つの教育モジュールを提供しており、有効に活用頂くことで従業員のリテラシーを向上させフィッシング詐欺に引っかかる確率を下げることが可能となるのです。

詳細については、弊社のPSAT製品紹介ホームページをご参照ください。
https://www.techmatrix.co.jp/product/proofpoint/psat.html

おわりに

前述してきたように、昨今のフィッシング詐欺は巧妙・洗練化されており、人の脆弱を付くフィッシング詐欺の対策としてセキュリティ教育が注目を集めています。
 
Proofpoint PSATを利用することで、1つのツールで総合的な教育ソリューションを活用することができます。Proofpoint PSAT導入を検討しているお客様については、弊社評価支援/導入支援サービスを準備していますので、ぜひProofpoint PSATの導入をご検討ください。