フィッシング詐欺の変化 | 株式会社宝情報

セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

フィッシング詐欺の変化

フィッシング対策協議会の報告によると、2017年の1年間に届け出られたフィッシング情報の件数は9812件に上りました。

攻撃の傾向を見ると、インターネットバンキングの不正送金による被害は大幅に減少し、代わりにクレジットカード情報を狙った攻撃が急増しています。
クレジットカードの不正使用による被害額は236.4億円に上り、2016年と比べ100億円近い増加となりました。

2018年の状況は

今年はどのような状況か、実際に見てみましょう。
次の表は2018年7月時点で報告されたフィッシング詐欺をまとめたものです。2018年にフィッシング対策協議会で公開された情報を基にしています。

Appleの6回が最も多い報告回数で、MUFGカードとセゾンNetアンサーの4回がそれに続きます。これらはアカウント認証情報やクレジットカード情報を盗み取ろうとするものです。
一方で、銀行を装ったものは全国銀行協会の1回のみ。(これも、銀行そのものではありません。)
2016年には10回以上(8月の1ヶ月間だけで5回も!)銀行を装ったフィッシング詐欺が報告されていたことを考えると、この1~2年で大きく傾向が変わっていることがわかります。

HTTPSを見分けるだけでは防げない

フィッシング詐欺を見分ける手立ての一つに「開いたサイトが暗号化されているかを確認する」というものがあります。
通常、アカウント情報やクレジットカード情報を入力するページは暗号化されています。そのため、そのような情報の入力を求められているにも関わらずHTTPS接続でなければ「おかしい」と気づける、という方法です。
2018年に報告されている事例でも、多くのフィッシング用ウェブサイトはHTTP接続によるものでした。ところが、2017年時点で15%以上がSSLサーバー証明書を利用しているなど、HTTPSを利用するケースも増加しています。
次の画像は、今年6月に報告されたフィッシングキャンペーンで使われていたURLです。多くがHTTPS接続であることがわかります[1]

「HTTPSだから本物」という見分け方だけでは、最早防ぎきることはできなくなっているのです。

SMSを利用したフィッシング詐欺、iOSのダイアログ通知を装った攻撃、キャリア決済を狙った詐欺など、モバイル端末を標的にしたフィッシング詐欺も巧妙さを増しています。
ユーザーへの啓発は勿論、UTMやエンドポイントセキュリティによる積極的な対策が望まれます。

img_cp700_01 img_cp5000 img_sbm

脚注

[1]MUFG カードをかたるフィッシング(2018/06/21) | フィッシング対策協議会

参考(外部リンク)

フィッシングレポート2018 | フィッシング対策協議会

記事一覧に戻る