コロナ禍に便乗しECサイトを装う詐欺が増加、2020年のフィッシング報告は前年の約4倍に

　フィッシング対策協議会の技術・制度検討ワーキンググループは6月1日、2020年のフィッシング詐欺の動向についてまとめた「フィッシングレポート 2021」を公開した。

コロナ禍における生活様式の変化に便乗、特別定額給付金を装う詐欺、地方銀行やカード会社を装う詐欺も

　レポートによると、2020年1月から12月までに同協議会に寄せられたフィッシング詐欺に関する報告は22万4676件で、2019年の約4倍と大幅に増加した。

　クレジットカード情報の詐取を目的としたフィッシングが多いのは例年通りだが、2020年の特徴的な傾向として、ECサイトを装ったものが多く、全体の約68％を占めたという。これは、コロナ禍によりオンラインショッピングの需要が高まったことが背景にあると推察している。

　また、特別定額給付金の通知を装ったフィッシング詐欺が早いタイミングで発生したことから、攻撃者は日本の状況をよく把握して仕掛けているとみている。そのほか、年末には地方銀行やクレジットカード会社をかたるフィッシングが多数報告されたことから、標的を広げている可能性があると指摘している。

フィッシング詐欺の報告件数（2017年?2020年）

　2020年に警察庁に報告があった不正アクセス行為のうち、IDの窃盗による不正アクセス行為は、2019年に比べてやや減少している。しかし、不正アクセス行為の手口別に内訳を見ると、フィッシングサイトによりIDを入手したものがもっとも多く、2019年比で172倍になったという。

識別符号窃用（ID窃盗）型不正アクセス行為の検挙件数（2015年～2020年）

識別符号窃用型不正アクセス行為の手口別検挙件数（2019年、2020年の比較）

誘導先のウェブサイトも多様化、ブラックリスト回避で短時間で停止することも

　フィッシングメールが大量配信される傾向から、2018年ごろからフィッシングメールの配信インフラが整ってきたとしている。ボットネットを使用したものから、国内事業者、海外事業者を経由したもの、正規のメール配信サービスを利用するなど、さまざまな手段により大量のフィッシングメールが配信されており、1人の報告者から何十件もの報告がされる例も多かったという。

　送信者メールアドレスを詐称したなりすましメールも多く、これを阻止するため、SPF（Sender Policy Framework）、DKIM（DomainKeys Identified Mail ）、DMARC（Domain-based Message Authentication, Reporting & Conformance ）といった送信ドメイン認証技術のさらなる普及が望まれるとしている。

　また、誘導先のURLが多様化し、短時間で次々と新しいフィッシングサイトが構築される傾向も指摘。ウェブブラウザーやセキュリティサービスのブラックリスト型フィッシング対策を回避するためのものと見られ、構築されるウェブサイトの中には、何度かアクセスするとアクセス不能になったり、短時間で停止するケースもある。

　誘導先のURLのパターンとして「正規サイトのドメイン名＋ランダムな文字列の独自ドメインの大量取得」「SNSなどで使われる短縮URLの使用」などが紹介されている。

SMSによる「スミッシング」にも注意を

　SMSを利用したフィッシング「スミッシング」も引き続き行われており、注意が必要だとしている。

　宅配便の不在通知を装うスミッシングが多く確認されているが、誘導先が銀行やクレジットカード会社をかたるウェブサイトになっているケースも報告されている。

　送信元を詐称したスミッシングの場合、ECサイトやウェブサービスとの正規のやり取りが行われていたスレッドに詐欺のメッセージが入り込み、詐欺だと気付きにくいケースもある。国内の携帯電話番号からのスミッシングでは、先に被害に遭って不正アプリをインストールしてしまった被害者のスマートフォンから詐欺のメッセージが送られてくる可能性もある。不審なSMSが届いた場合、電話をかけたり、返信したりしないよう注意を呼び掛けている。

　同レポートではこのほか、海外のフィッシング詐欺の傾向や技術・制度検討ワーキンググループの活動内容、フィッシング詐欺による被害と対策の詳細などがまとめられている。