特集

近年のフィッシング詐欺

今回はフィッシング詐欺についての記事です。

そもそもフィッシング詐欺とは、
送信者を詐称したメールから偽のホームページに接続させたりするなどの方法で、個人情報(主にクレジットカード情報、インターネットバンキングやECサイトのアカウント情報等)を盗み出す行為のことを言います。

インターネットバンキングでは事業者側の対策が進み、被害額が減少傾向にあるそうですが、その一方で、手口の巧妙化が進んでいます。

 

○近年のフィッシング詐欺の特徴

(1)SSLサーバ証明書の利用
SSLサーバ証明書は「ドメイン認証型(DV)」「実在証明型(OV)EVタイプ(EV)」の3種類があります。そのうち「ドメイン認証型(DV)」は組織情報の審査がなく、さらに低価格(もしくは無償)で発行可能で、フィッシングサイトでの利用も増えており、全体の15%以上で利用されているそうです。
「URLが”https”で始まっていれば安全だ」とは言えなくなりつつあります。

(2)SMSの利用
従来、フィッシングは、メールの発信が中心でしたが、携帯電話番号に短文メッセージを配信するSMS(ショートメッセージサービス)が利用される手口が増えています。

海外では「サービス利用者側で任意の発信元名を設定できる」「サービス利用開始にあたり利用者の審査が不要」というSMS配信事業者が存在しているそうです。
つまり、発信元名では正規の送信元かが判別できず、慎重に対応する必要があります。

 

○利用者の対策

以下に一般的な利用者側の対策を記載しますのでご参考ください。

【パソコンやモバイル端末は、安全に保つ】

重要度 対策の概要
ソフトウエアは信頼できるサイトからインストールする
最新のソフトウエアを利用する
セキュリティ対策ソフトウエアの機能を理解し適切に用いる
端末の利用には一般ユーザアカウントを利用する
URL フィルタリングを活用すること

【不審なメールに注意する】

重要度 対策の概要
個人情報の入力を求めるメールを信用しない
メールに記載される差出人名称は信用しない
怪しいメールの判断基準を知る
安全なメールサーバを活用したり、類似性評価によるフィッシングメール判別機能を活用すること
リンクにアクセスする前に正規メールかどうか確認する

【電子メールにあるリンクはクリックしないようにする】

重要度 対策の概要
正しい URL を確認する
電子メール本文中のリンクには原則としてアクセスしない
錠前マークを確認する
Web サイト運営者からの通知メール形式をTEXT 形式に設定する

【アカウント情報の管理】

重要度 対策の概要
アカウントID/パスワードはWeb サイト運営者別に設定すること
アカウント管理ソフトウエアを導入する
全てのアカウントについて緊急連絡先を把握しておくこと

※本記事は以下の文献を参考に作成しています。こちらも是非ご参照ください。
・フィッシング対策協議会「フィッシングレポート
・フィッシング対策協議会「フィッシング対策ガイドライン