2024年4月22日8:00
フィッシングによるものとみられる不正送金被害が急増している。2023(令和5)年の被害は、前年の1,136件(被害額約15億2,000万円)から急増し、23年11月末時点で5,147件(被害額80億円超)となった。金融機関、信販会社、オンラインサービス、セキュリティベンダーなどが加盟するフィッシング対策協議会によると、詐取した情報をその場で使用するリアルタイムフィッシングという新たな攻撃による被害拡大がその背景にあると見られている。
偽サイトに誘導しOTPを詐取した後、
即座に不正送金の手続を進める
警察庁は2023年12月25日の発表で、「フィッシングによるものとみられるインターネットバンキングに係る不正送金被害が急増している」ことを明らかにしたうえで、偽サイトにID、ワンタイムパスワード(OTP)、乱数表などのパスワードを入力しないように再三にわたり注意喚起を行っている。
2023年に発生している過去最大規模の不正送金被害の背景と考えられる最も巧妙なフィッシングがリアルタイムフィッシングと呼ばれる手法だ。この「リアルタイム(即時)フィッシング」の手口は、詐取した情報をその場で使用することで最終的にネットバンキングの不正送金やWebサービスの不正利用までが行われてしまう。
フィッシング対策協議会事務局(一般社団法人JPCERTコーディネーションセンター)吉岡 道明氏は「例えば、インターネットバンキングでは、ワンタイムパスワードを使うことによってセキュリティを高めていました。しかし、リアルタイムフィッシングは、偽サイトでID・パスワードを詐取した後、即時にその口座にアクセスして、さらに被害者に入力させたワンタイムパスワードを使って送金の手続をかけます」と説明する。
以前から、偽サイトに誘導してワンタイムパスワードを盗む手口はあったが、自動化が進む一方、犯罪側がチームを組んで、ワンタイムパスワードを盗む役割と、口座にアクセスして送金手続きをする役割を分担することで、不正送金の一連の手続きのスピード化を図っているものとみられる。
S/MIME電子署名ファイルが添付された
フィッシングメールも
フィッシングについては、数年前までは、フィッシングメールの文面の不自然さや、フィッシングサイトと正規サイトの類似性の低さ、サイトのhttps化の有無などで判断が可能とされていた。しかし、最近は、正規のメール、サイトと同じレベルのフィッシングメール、フィッシングサイトが作成されているという。これらフィッシングメール、フィッシングサイトの巧妙化に加え、不正送金の手法も銀行などのサービス提供事業者のさまざまな対策を突破するような巧妙化した手口が増えてきている。
例えば、S/MIME電子署名ファイルが添付されるなど、紛らわしい手法を使って公式メールに見せようとするフィッシングメールも報告されている。S/MIME電子署名とは、送信するメール内容を電子証明書により暗号化し、電子署名ファイルとして添付することで正規のメールであることを受信側で検証できる仕組みだ。GmailやOutlookなどS/MIME電子署名に対応済みのメーラーで電子署名付きのメールを受信すると、シーリングスタンプを模したマークなどが表示され、本物であると判断する。
