フィッシングが再び増加、LINEなどは“Vishing”“SMiShing”の格好の標的

　EMCジャパン株式会社のRSA事業本部は23日、世界規模でオンライン犯罪対策業務を行っている「RSA Anti-Fraud Command Center（AFCC）」の調査に基づく月次レポートの最新版を発表した。

　AFCCが9月に検知したフィッシング攻撃は再び増加に転じ、4万6119件に上った。今年最高を記録するとともに、昨年8月の4万9488件以来の高水準だという。攻撃を受けた国の内訳は米国が50％と最も多く、以下、ドイツが31％、英国が5％などの順。

　月ごとの攻撃件数は昨年12月以降、3万件前後で推移していたが、今年5月ごろから増加し、7月には4万5232件に上った。その後、8月には3万3861件で小休止したかに見えていたのが、9月は36％の大幅増となった。

　AFCCでは、例年の傾向として、夏休みを中心としたピークを越えた後、11月・12月のホリデーシーズンに向けてフィッシング攻撃は再び増加するとしている。

フィッシング攻撃数の月次推移

フィッシング攻撃を受けた回数の国別内訳

モバイルサイト悪用、フィッシングサイトかどうかURLで見分けにくい

　「モバイルインターネットの増加とスマートデバイスの普及は、モバイルサイトのURLを利用しようと考えるフィッシング犯たちの視線を長らく釘付けにしている」という。

　9月に確認された中で注目される事例として、Facebookのモバイルサイトを模した攻撃を挙げている。ユーザーにログイン情報へのアクセスをリクエストし、その後、秘密の質問とその回答を選ばせた挙げ句、最後にクレジットカード情報を共有するように求めてくるものだという。

　AFCCでは、PCのウェブブラウザーと異なり、モバイル端末のブラウザーではURLが一部しか表示されないため、URLをチェックすることでフィッシングサイトを見分けることができないと指摘。さらにモバイルアプリ上でフィッシングを行えば、ページはアプリから直接開かれ、URLは全く表示されないため「より一層、簡単」だという。

　「フィッシング犯たちは、モバイルサイトを悪用した攻撃をより多く仕掛けてくるだろう。」

ウェブは見つかりやすい、電話やSMSによるフィッシングも

　攻撃の主流を占めているのが“古典的なフィッシング”である一方で、攻撃者はより目新しい方法を探し求めているという。ウェブ周辺の取り締まりが強化され、攻撃の起点となるサイトがセキュリティ関係者によって比較的短時間で閉鎖されるようになったためだ。オフライン型の攻撃手法として、電話によるフィッシング“Vishing（Voice Phishing）”を選択する攻撃者も増加しているという。

　9月に報告された事件には、銀行利用者から電話で情報を詐取するVishing攻撃が含まれていたという。事業者のセキュリティ担当を装ったスパムメールを送信し、偽の電話番号に電話させ、個人情報や金融機関に関する情報を聞き出そうとするものだ。

　また、米国・英国などでは、フィッシング目的のSMSである“SMiShing”が携帯電話利用者に対して年間3000万件近く送信されていることを紹介。これは、金融機関を装って詐欺目的の電話番号やフィッシングサイトに誘導するもので、受信者が誘導リンクをタップしてしまうと、さらに古典的なフィッシング攻撃の標的にもなる。

　「日本の環境で考えれば、LINEのようなメッセージングおよび無料音声通話サービスなどは、VishingやSMiShingの格好の標的と言えるだろう。」