日本におけるフィッシングの最新の傾向についてご報告します。
1.はじめに
今回は日本におけるフィッシングの最新の傾向についてご報告します。
2.ISPやSNSがターゲットに
日本では、欧米に比べて依然として事例の少ないフィッシング詐欺ですが、その発生状況に変化が見られます。フィッシング対策協議会4半期レポート2008年1-3月期によると、この期間に「フィッシングによりブランド名を悪用された企業の数」は18件にのぼります。この数は前年同期(2007年1-3月期)の13件に比べ増加しています。また、「国内におけるフィッシングの報告件数」については34件となり過去最高となった前期2007年10-12月期の54件に比べると低下していますが、個々の事例としては変化に富んでいると報告されています。
「イーバンク銀行」や「ゆうちょ銀行」のように、金融機関を騙る事例も報告されていますが、大手SNSサイト「mixi」を「mixii」と偽装した事例やISPの「ニフティ」に関するフィッシング詐欺は、フィッシングメールの配信も大規模に行われた為、被害を防ぐために、関係各所、ニュースサイト等が注意喚起を行いました。フィッシング詐欺の対象となる業種に多様性が出てきたことが伺えます。
3.なぜ金融機関以外のブランドが対象に?
フィッシング詐欺の対象となるWebサイトとして、業種を問わず、より多くの個人情報を取り扱うWebサイトが攻撃対象としなっていされる傾向にあります。
大手SNSやISPは金融機関に比べ、より多くのユーザを抱えています。通常フィッシングメールは、「スピア(槍)型攻撃」の場合を除いて、不特定多数に内容も無差別に送りつけられることがほとんどです。インターネットバンキングの利用者を狙う場合、犯罪組織が偽装したインターネットバンキングの利用者に正確に、フィッシングメールを送ることは、極めて困難です。しかし、大手SNSやISPであれば、インターネットユーザのほとんどがIDを持っているような場合もあり、より効率的に個人情報を取得することが可能となります。その為フィッシング詐欺を行う、犯罪集団が対象とするブランドが多様化していると思われます。
このような状況においても、フィッシング詐欺対策については、基本的な注意と対策を行うことに変わりはありません。以下の項目に注意して、安全にインターネットを利用してください。
不審な電子メールには注意してください。
銀行やISPが電子メールでユーザIDやパスワード等の個人情報を尋ねることはありません。また、電子メールにURLリンクが記載されていても、不用意にクリックしないでください。少しでも不審に感じたら、電子メールに返信せずに、銀行やISPに直接問い合わせてください。
Webサイトが本物であることを必ず確認してください。
多くの企業では、自社Webサイトの正当性を証明する製品やサービスを導入しています。詳細については各企業のWebサイトで確認してください。
セキュリティ対策を行ってください。
フィッシングメールやフィッシングサイトを検知する機能を持ったセキュリティ対策ソフトを使用してください。また、アプリケーション(ブラウザ、メールソフト)のセキュリティ機能があれば、有効にしてください。