2024年6月10日9:20
フィッシングや詐欺電話対策サービスを提供するトビラシステムズと、クレジットカード決済などの不正検知サービスを提供するかっこは、2024年5月28日、「詐欺犯罪のリアル:フィッシングからクレカ不正利用まで~専門家がデータで分析、最新の犯罪トレンドを事例とともに徹底解説~」と題したメディア向けの勉強会を開始した。2023年におけるフィッシング詐欺の報告件数は119万件、クレジットカードの不正利用の被害額は540億円、インターネットバンキングの不正送金被害額は87億円となるなど、深刻な課題となっている。そこで両社では、フィッシングやクレジットカード不正利用の最新動向や対策について解説した。
スミッシングで個人情報等を詐取
2023年のスミッシング件数は約1.7倍に
勉強会ではまず、トビラシステムズ セキュリティリサーチャ 柘植 悠孝氏がフィッシングにおけるSMS悪用の実態について紹介した。同社では、約1,500万人のユーザーから得られる膨大なログ、電話番号・SMS・URLに関する独自調査データ、警察からのデータなどから得られる「迷惑情報データベース」を日々更新し、危険な電話番号・SMSに記載されているURLなどをブラックリスト化することで、当社サービスの利用者を危険から守る仕組みを提供している。
フィッシング詐欺は、URLつきのeメールやSMS等のメッセージを利用者に送りつけ、偽サイト(フィッシングサイト)に誘導し、ID・パスワードなどの認証情報や、クレジットカード番号、その他重要な個人情報などを入力させ盗む詐欺となる。そのうち、SMSを用いて誘導を行うものを「SMS」と「フィッシング」をかけ合わせ「スミッシング」と呼んでいる。これにより、ログイン情報、クレジットカード情報、その他個人情報やプライベートな情報を詐取される。例えば、ログイン情報やクレジットカードなど決済サービス情報の詐取などは本物のサイトと区別がつかないケースも多い。また、画像アップロードの詐取は身分証の偽造にも使われている。犯罪者は盗んだ情報を悪用して金銭を得ているほか、被害者のスマートフォン端末をマルウェア感染させ乗っ取り、SMSをばらまく踏み台として悪用されている実態があるとした。
なぜSMSが悪用されるか?その理由は、利用者が多く、ばらまける先が多いからだ。現在、スマートフォンや携帯電話の所有率が高く、ほぼ標準で送受信アプリが最初からインストールされており、携帯電話を契約すれば、特に複雑なアカウント登録や設定なく使えるようになる。また、機能も簡素であるため、高齢者やリテラシーの低い人でも比較的使いやすい特徴がある。さらに、PCと違い、日頃持ち歩くスマートフォンの通知と連動しており、反射的に開封してしまうケースも多い。加えて、企業のお知らせやSMS認証など、正規のメッセージとして有効活用も進んでおり、「信じやすい」点もあるそうだ。
2022年に比べ、2023年のスミッシング件数は約1.7倍に増加。不正送金被害やクレジットカード悪用被害も増加している。その理由として、Androidマルウェア感染端末の増加が挙げられる。実にAndroidマルウェア感染端末によるばらまきSMSの割合が99.6%となった。柘植氏は「送信元が携帯電話番号になっていることのがほとんどで、つまりその送り主というのが犯罪者ではなくて、感染させられた被害者であるという点です」と話す。また、1通当たり3円程するSMS料金も被害者が負担しているというのだ。さらに、送信者はマルウェア感染させられた被害者であるということを知らない人はまだまだ多い。
「宅配型」と「多業種型」が流行中
スミッシングの被害を抑えるためには?
現在、マルウェアは宅配業者の不在通知を装う「宅配型」(Moqhao(XLoader))に加え、金融機関、通信事業者、官公庁、複数の業種を装う「多業種型」(KeepSpy)の2つが流行中だ。例えば、メガバンクのオンラインバンキングのログイン情報を盗むフィッシングサイトへ誘導するケースなどが挙げられるが、メガバンク以外の金融機関の事例も報告されている。宅配型は昼、多業種型は22時、23時の夜に送信されることが多いという。なお、宅配便を語るSMSは中国の春節や労働節付近の配信が大幅に減少しているそうだ。
柘植氏はスミッシングの被害を抑えるために、①身に覚えのないメールやSMSが届いた場合文面に添付されたURLに触らない、②日頃利用するサービスは、公式アプリやブックマークしたサイトから情報を確認、③迷惑SMS対策サービスを活用し、フィッシング詐欺などの不審なSMSを自動で遮断する、といった点を挙げた。例えば、通信事業者が提供する2段階の迷惑SMS対策サービスには、SMS送信経路上でブロックするネットワーク型、端末上でフィルタリングするアプリ型がある。ネットワーク型は携帯電話を契約すると自動で付帯され、大手3キャリアは実装済みで、楽天モバイルも7月から対応する。アプリ型は、通信キャリアのセキュリティオプションとして提供されており、大手3キャリアは実装済みだ。
トビラシステムズでは、スミッシングのワードや手口、被害が多い業種などのトレンドなどを紹介した年次でのレポートに加え、月次で特殊詐欺・フィッシング詐欺に関するレポートを配信している。また、被害に対しての実態調査、SMS型投資詐欺の独自調査レポート、国際電話を悪用する詐欺手口レポート、リアルタイムで検知したグラフなどを紹介する詐欺SMSモニターを提供している。
かっこは1日1.8億円の不正をストップ
不正送金の増加の3つの理由、3社に1社が不正注文
続いて、最新のクレジットカードの不正手口や対策ポイントについて、かっこ O-PLUX 事業部部長 小野瀬 まい氏が紹介した。かっこでは、フィッシングから不正アクセス・不正注文/購入まで、EC事業者に向けた不正対策サービスを網羅的に提供している。フィッシング対策の「鉄壁PACK for フィッシング」、不正注文サービスの「O-PLUX」、不正アクセス検知サービス「o-motion」を提供している。
同社の不正注文検知サービス「O-PLUX」は、さまざまな業界に導入が進んでおり、東京商工リサーチの「日本国内のECサイトにおける有償の不正検知サービス導入サイト件数調査」によると、2024年3月末日時点の国内導入数No.1を獲得している。累計11万サイトでの採用実績がある。クレジットカードの不正利用の被害は拡大しているが、同社では、2023年に680億円の不正被害を未然に防止している。実に1日1.8億円の不正をストップしているそうだ。また、その実績が評価され、業界団体などでの講演の依頼も増えている。
近年は、個人情報詐取による被害として、フィッシングなどによりインターネットバンキングのIDやパスワードを盗み、預金を不正に送金する「不正送金」やネット通販におけるクレジットカード不正利用、不正転売、後払いの未払いなどによる「不正注文」が増えている。
2023年だけで不正送金は87億円の被害がでており、前年比6倍となった。その多くがフィッシングから誘導され、不正送金の半分は、暗号資産交換業者の金融口座に送金されたという。不正送金の増加の理由として、1つはAI技術の活用などにより、偽サイトが見分けることが難しくなったことが挙げられる。2つ目は、二段階認証を突破されるケースも出てきていることだ。3つ目は、犯行グループのターゲットになる金融機関が多様化してきている。
二段階認証を突破させる手口として、まずフィッシングサイトにIDやパスワードを入力させて、それらを盗んだ後に不正者が正規サイトにユーザーになりすましてログインを行う。正規サイトからユーザーにワンタイムパスワードが送られるが、それを再度フィッシングサイトに入力させることによって不正者の手元にワンタイムパスワードが届き、それを使って正規サイトにログインできるような手法だ。
クレジットカードの不正利用に関しては、2020年以降、増加し続けている。前述のように2023年は540億円と過去額を突破した。そのほとんどがネット通販での番号盗用だ。
クレジットカードの不正利用が発生した場合に、カードの保有者は、カード会社によって被害額は原則保障されるが、その代わりにEC事業者が負担しなければならないルールになっている。不正者が他人にクレジットカードを使って不正注文をして、EC事業者は不正者と知らずに商品を発送する。カードの本来の持ち主には利用明細が届くが、購入したはずのない料金を請求されているため、カード会社に不服申し立てを行う。第三者には不正利用が確定した場合にはチャージバックと呼ばれるEC事業者に対しての売上が取り消される仕組みとなっている。同社では事業者における不正注文被害の状況に関する調査を実施し、549名から回答を得た。その結果、3社に1社が不正注文の被害を受けた経験があり、クレジットカードの不正利用が最も多かった。
