フィッシングは、実在する企業等を装ったSMS(ショートメッセージサービス)や電子メールを送りつけ、受信者をフィッシングサイト(偽物のサイト)へ誘導してIDやパスワード等を入力させ、不正に個人情報等を入手する攻撃手法です。特にSMSを使ってフィッシングサイトへ誘導する手口は、「スミッシング」と呼ばれています。
フィッシングによる代表的な被害として、インターネットバンキングに係る不正送金があります。インターネットバンキングに係る不正送金とは、攻撃者が、他人のIDやパスワード等を不正に入手し、これを用いてインターネットバンキングに不正アクセスし、被害者の銀行口座から攻撃者の管理下にある銀行口座へ不正送金するものです。
攻撃者は、このIDやパスワードを入手するために、フィッシングの手口を使っていると考えられ、フィッシングサイトへ誘導するため、金融機関(銀行)を装って「銀行口座のセキュリティ強化のため、一時利用停止しております。再開手続きをお願いします。」という趣旨の内容をSMSや電子メールで送付し、インターネットバンキングのIDやパスワード、さらにはワンタイムパスワード等を盗み取っていると考えられています。
JC3では、2019年に銀行を装ったフィッシングによる不正送金被害の急増を受けて、2019年10月24日「フィッシングによる不正送金の被害に注意」と題した注意喚起を始め、継続して注意喚起を行っています。
・フィッシングによる不正送金の被害に注意
警察庁が2021年9月に公表した「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」によれば、インターネットバンキングに係る不正送金の発生件数・被害額は、2019年に急増した以降、2021年上半期まで減少傾向が続いています。このまま推移すれば、2021年中のインターネットバンキングに係る不正送金は、2020年と比べて発生件数・被害額ともに大きく減少するものと予想されます。
一方で、フィッシング対策協議会が公表している「フィッシングレポート」等によれば、スミッシングを含めた2021年中のフィッシング報告件数は52万6,504件で、2020年の22万4,676件と比較して2倍以上増加しています。
JC3では独自にフィッシングサイトの情報を収集していますが、2021年中のフィッシングサイトをターゲット別に分析したところ、銀行を装ったフィッシングサイトの割合は少なく、その代わり、ネット通販サイト等のeコマースや、通信事業者、クレジットカード会社をターゲットとしたフィッシングサイトを多数観測しました。
通信事業者のフィッシングサイトについては、JC3でも2021年に急増を確認しており、フィッシングにより通信事業者のサービス利用時のアカウント情報が盗まれて商品購入の決済に利用される他、スマートフォンに不正アプリをインストールさせられるケースも確認したことから、2021年8月と11月に注意喚起を実施しました。
・通信事業者を装ったフィッシングの注意喚起
・通信事業者を装ったフィッシング(不正アプリに注意)
上記の内訳において、クレジットカードに分類されているものは、クレジットカード会社を装うものです。他にもクレジットカードを窃取するフィッシングサイトとしては、eコマースに分類されたものの中には、当該ECサイトを利用するアカウント情報に加えて、クレジットカード情報も窃取するケースがあります。さらに、その他の内訳になりますが、例えば「新型コロナワクチンの予約」を偽り、クレジットカード情報を窃取するものもあります。このように、クレジットカード情報を窃取するフィッシングサイトは多種多様です。クレジットカード情報が盗まれてしまうと、勝手に使われて金銭的な被害が発生する恐れがありますので、注意が必要です。
一般社団法人日本クレジット協会が2021年12月に公表した「クレジットカード不正利用被害の発生状況」によれば、2021年1月から9月までの間に、クレジットカード番号を勝手に使われる番号盗用に係るクレジットカード不正利用被害額は223.9億円で、既に2020年1年間の不正利用被害額223.6億円を超えています。
この被害のすべてが、フィッシングによって盗まれたクレジットカード番号が使われたものとは限りませんが、クレジットカード情報を窃取するフィッシングサイトの割合が大きいことから、クレジットカード不正利用の被害額が増加している要因の一つと考えられます。
このように、フィッシングのターゲットは、従前より狙われていた銀行等の金融機関から、クレジットカード情報や各種ECサイトのアカウント情報へと変遷させていることがうかがえます。フィッシングはサイバー空間における脅威の一つです。インターネットを安全・安心に利用するため、サービスを提供する側も利用する側も、より一層の警戒が必要です。
ページの先頭へ