情報処理推進機構(IPA)は2023年1月25日、「情報セキュリティ10大脅威 2023」を公開した。セキュリティーの専門家や企業のセキュリティー担当者が、2022年に発生した事案から注意すべき脅威をランキング形式で選んだものだ。ランキングは個人向けと組織向けに分けられ、個人向けの1位は2年連続で「フィッシングによる個人情報などの詐取」だった。
フィッシング(phishing)とは、実在する企業や公的機関などを装ったメールやSMSを送り付け、正規のWebサイトを模倣したサイト(フィッシングサイト)に誘導して、認証情報やクレジットカード情報、個人情報を詐取する行為だ。釣りの「fishing」が語源ともいわれ、油断していれば誰もが「釣られて」しまう。
今回はフィッシングの現状やよく使われる手法を把握し、フィッシングを防ぐ対策を見ていこう。
フィッシングの現状
フィッシング対策協議会が2023年2月6日に発表した2023年1月に同会が報告を受けたフィッシング事案の報告書では、フィッシングに悪用されたブランドは76個だった。最も報告件数が多かったブランドは「Amazon」で全体の44.6%。次いで「ETC利用照会サービス」「セゾンカード」「PayPayカード」が続いた。SMSに絞ると、宅配便の不在通知を装って「Apple」のフィッシングサイトに誘導するタイプと、携帯電話のキャリアを装ったタイプが多かったとしている。なお、SMSを使ったフィッシングはメールを使うフィッシングと区別して「スミッシング」と呼ばれることが多い。
フィッシングメールやスミッシングは、受信者を焦らせる文面が多い。タイトルや本文に、「緊急」や「重要」といった言葉が並び、「あなたのアカウントが不正利用された。ただちに停止措置をとってほしい」「久しくアクセスしていないのでこのままでアカウントを削除する」といった趣旨の文言が並ぶ。本物と同じロゴマークを使い、リンク先のWebサイトも本物とそっくりのデザインであることもあり、パッと見で偽物と判断するのは難しい。
次は筆者のもとに届いた「Amazon」を装ったフィッシングメールである。筆者のアカウントを使って商品を購入した人がいると書かれている。具体的な住所や名前が書かれているので、実際に不正ログイン被害に遭ったように見える。「え、まじか?」「急いでキャンセルしなきゃ」と思って、メール内のリンクをクリックしたら攻撃者の思うつぼだ。いつも使ってブックマークからAmazon.co.jpの購入履歴を確認すると、通知されたような事実はなかった。なお、Googleマップを使ってメールの住所を確認すると、実在し集合住宅のようだった。個人宅だと名前が一致しないなどの理由で詐欺だとバレやすくなるため、集合住宅を選んだと思われる。名前は架空だろう。
