フィッシング対策協議会は12月3日、フィッシングに関する11月の集計結果を発表しました。それによると、同協議会に寄せられたフィッシング報告件数は、10月の28,727件より2,240件増加し30,967件となりました。1月には6,653件だった報告件数が、ほぼ1年で5倍近くにまで急増したこととなります。コロナ禍の世相に合わせるように急拡大しており、引き続き注意が必要です。
全体の傾向としては、Amazonを騙るフィッシングメールが多く、全体の62.3%を占め、次いで三井住友カード、楽天、MyJCB、アプラス(新生銀行カード)が続き、これら上位5ブランドで報告数全体の約90.1%を占めています。また、国税庁など、新しいブランドをかたるフィッシングも増えました。
発信元情報をなりすましたSMS(ショートメッセージ)は、宅配業者の不在通知を装ったものが引き続き大量配信されています。一方、新たに「楽天市場」の発送通知を装った文面が報告され、その他では検索サイトの検索結果に表示される広告やSNSの広告から、フィッシングサイト(または偽ECサイト)に誘導されるケースも報告されています。
フィッシング詐欺とは
フィッシング(Phishing)とは、「魚を釣る(Fishing)」フィッシングのことではなく、人をだまして情報を盗み、最終的に金銭的な利益を得ようとする不正行為のことを意味します。フィッシング (Phishing) とは実在する組織を騙って、ユーザーネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取します。
フィッシング詐欺の手口
典型的な手口としては、まず、クレジットカード会社や銀行からのお知らせのふりをしたメールをユーザーに送りつけます。「情報確認のため」 などと称して巧みにリンクをクリックさせ、あらかじめ用意した本物のサイトにそっくりな偽サイトにユーザーを誘導します。そこでクレジットカード番号や口座番号などを入力するよう促し、入力された情報を盗み取ります。
対策方法
フィッシングサイトへの主な誘導手段となっているフィッシングメールには、メールのフィルタリング機能やセキュリティソフト、アプリによる対策が有効です。誤って誘導先にアクセスしてしまわないためにも、不正なメールやメッセージの受信を防ぐことが大切です。
正しいドメイン名を確認し、ブックマークに登録する
オンラインサービス初回利用時にはそのドメイン名を利用者カード/請求書などで確認し、 直接入力してください。初回利用時にブラウザのブックマークに登録などすることで、以後 入力を省くことが可能です。特にフィッシング詐欺被害が金銭面に及ぶ可能性の高い、クレ ジットカード会社、銀行、ショッピングサイトなどについて、ブックマークを活用するようにしてください。
電子メール中のリンクはクリックしない
電子メール中のリンクはクリックすると危ないサイトに行く可能性があるため、安易にクリックしないようにしましょう。やむを得ず、案内メールの本文中のURLリンクを利用する場合には、フィッシング詐欺で無いことを確認してからアクセスするように心がけてください。
ソフトウェアを最新の状態にする
パソコンやモバイル端末にセキュリティ上の脆弱性があると、利用者が気づくことなくマルウェアへの感染や脆弱性を利用した攻撃を受けることになります。最新のOS やアプリ ケーションには自動的に最新のセキュリティパッチを適用する機能が備えられていることが多いので、できるだけその機能を有効にし、最新のセキュリティパッチが確実に適用された状態でパソコンやモバイル端末を利用することが重要です。
パスワードのしっかりとした管理
不正アクセス行為、ウイルス感染などの原因でWebサイトからユーザのパスワードが漏えいする事件が現実に発生しています。利用するWebサイト毎にID・パスワードを別々にしましょう。例えば同じパスワードをSNSとインターネットバンキングで 使いまわしていると、SNSからパスワードが漏れた場合、インターネットバンキングのアカウントも危険にさらされることになります。
フィッシング詐欺犯罪者は、奪ったパスワードでログインした後、正規ユーザーを締め出すた め、パスワードを変更してしまいます。こうなると、登録しておいた情報にアクセスできなくなるため、被害の大きさを測ることができなくなります。
正しいアプリをつかう
スマートフォンではメールのなりすましだけでなく、インターネットバンキングアプリなどを装って不正なアプリをインストールさせ、そのアプリに入力したID やパスワードが盗られるケースがあるため、スマートフォンではフィッシングサイトやメールだけではなくアプリにも気をつける必要があります。
この不正なアプリの多くは偽アプリケーションストアで配布されていることが確認され ています。アプリをインストールする場合は正規のアプリケーションストア (iOS デバイスの場合は App Store、Androidの場合はGoogle Playや携帯キャリアが提供しているアプリケーションストア) からインストールするようにしましょう。
犯罪者は利用者が気づきにくい手口や、思いもよらない新しい手口を次々と編み出してくるため、セキュリティソフトの機能やこれまでの知識だけでは、被害を防ぐことが困難になっています。