大手金融機関を装う、フィッシング詐欺が急増。9月は前月比4倍の事犯発生。

CISOアドバイザー

2019/10/25(金) 6:00

　警察庁は、大手金融機関を装ったフィッシング詐欺が急増していると、注意を呼びかけた。警察庁の発表によれば、インターネットバンキングに係る不正送金被害については2016年以降、発生件数・被害額ともに減少傾向が続いていたが、2019年9月に発生件数436件、被害額は約４億2,600万円を記録。この数値は2012年以降最多で有り、被害額は２番目に多い水準となっている。

　被害の多くはフィッシングによるものとみられており、警察庁はメールやSMSに記載されたリンクからアクセスしたサイトにID・パスワード等を入力しないよう呼びかけている。

■多くの大手金融機関が標的に

多くの金融機関を装おったフィッシングメール等が確認されており、金融機関が注意を呼びかけている。主要な金融機関のフィッシングメール対策を紹介するので、自身が利用している金融機関の注意書き、対策を読み、被害に合わないように防止することを推奨する。

　・みずほ銀行

　　https://www.mizuhobank.co.jp/crime/email.html

　・三菱UFJ銀行

　　https://direct.bk.mufg.jp/info_news/smsinfo_1023/index.html

　・MUFGカード

　　https://www.cr.mufg.jp/member/notice/fishing/index.html

　・三井住友銀行

　　https://www.smbc.co.jp/security/attention/index23.html

　・ゆうちょ銀行

　　https://www.jp-bank.japanpost.jp/news/2019/news_id001359.html

　・りそなグループ

　　https://www.resona-gr.co.jp/others/notice_01.html

　・新生銀行

　　https://www.shinseibank.com/info/news160331_secure01.html

　・あおぞら銀行

　　https://www.aozorabank.co.jp/kojin/products/ib/security/ibsecurity/

■高度に洗練された偽サイトや偽メール

　数年前までのフィッシングメールのイメージは、カタコトの日本語や、デタラメな英語で送信されてくることが多く、特に知識の無い人でも、明らかに「怪しい」と感じることが出来た。しかし、最近のフィッシングメールやフィッシングサイトは、一目見ただけでは、「怪しい」と気付くことすら難しい。

　例えば、新生銀行を装うフィッシングサイトの例を以下に示す。これは、セキュリテイ・カードの情報を盗み出すために準備されたフィッシングサイトだが、バナーやレイアウト、配色等は偽物と本物で酷似しており、頻繁に利用している人で無いと、「怪しい」と感じることすら難しいだろう。そもそも、入力インターフェースが変化していたとしても「あれ?変わったのかな?」程度で、特に疑問に感じることなく、セキュリテイ・カードの情報を入力してしまう人も少なくないだろう。

新生銀行のフィッシングサイト例。よほど記憶力の良い人でないと、本物と偽物を外観だけで判断するのは難しい:引用:新生銀行

　これは、三井住友銀行を装った、フィッシングメール例だ。これを見ただけで、フィッシングメールと判別出来る人は、殆ど居ないのでは無いだろうか。　

　このように、見た目だけでは、簡単に偽物か本物なのか判別することは難しくなっている。

■スマホ利用時は特に注意が必要

　スマートフォンはPCと比較して、情報量が少ないため、フィッシングメールのフィッシングサイト誘導成功率は高くなると言われている。

　以下に例を示す。左はiPhoneでAmazonを語るフィッシングメールを開いた図。右はPCのGmailで同じメールを開いた図。iPhoneの方では差出人が「Amazon」と表示されているが、PCの方ではメールアドレスが全て表示されており、正規のAmazonのドメインで無いことがわかる。このように、スマホではメールの差出人や、URLを確認する方法がPCと比べて乏しく、攻撃者の罠にひっかかりやすいと言われている。