Google マップ上で待ち受ける詐欺師の罠とは？ フィッシングの新トレンド“リバースヴィッシング”

　RSA（EMCジャパン株式会社RSA事業本部）は1月29日、「オンライン不正行為の最新トレンドとサイバー攻撃手法の進化」と題してプレスラウンドテーブルを開催した。イスラエルに拠点を置くRSAのサイバー犯罪インテリジェンスチーム「AFCC（Anti-Fraud Command Center）」のAlon Shmilovitz氏が、フィッシングなどのサイバー詐欺犯罪のトレンドと、サイバー詐欺師のSNS利用について解説した。

RSAのAlon Shmilovitz氏

新しいトレンド、“リバースヴィッシング”と“二要素フィッシング”

　Shmilovitz氏はまず、2018年の全世界での攻撃タイプ別発生状況について説明した。

　主な特徴は2つ。1つは、フィッシングが相変わらず増加傾向にあることだ。総数4万件のうち約半数がフィッシングが占めている。

　もう1つは、不正なモバイルアプリによる事件が急増していることだ。2018年の第1四半期では約1000件だったのが、第4四半期では約1万件になっている。「スマートフォンがこれだけ使われるようになると、それを狙った攻撃も増える」とShmilovitz氏はコメントした。

2018年の全世界での攻撃タイプ別発生状況

　続いてShmilovitz氏は、フィッシングの新しいトレンドを2つ紹介した。

　トレンドの1つめは、“リバースヴィッシング（Reverse Vishing）”攻撃だ。ヴィッシング（Vishing）は「Voice Phishing（声によるフィッシング）」の略で、例えば銀行を装って電話をかけて、口座番号や社会保証番号を聞き出すという古典的な手口を指す。

　リバースヴィッシングはその逆向きで、被害者から詐欺師に電話させるようにする手口だ。

　例えば、Google マップに表示される店舗情報は、「情報の修正を提案」の機能により誰でも変更できる。そこで、銀行の電話番号を自分のものに書き換え、かかってきた電話に銀行員を装って対応して、口座情報などを聞き出すという。こうした偽情報は見つかりしだい修正されるが、それまでの間にアクセスした人がだまされる。「もともとインドで多く見られた手口だが、最近ではアジア太平洋地域にも進出している」（Shmilovitz氏）。

　トレンドの2つめは、“二要素フィッシング攻撃（2FA Phishing Attack）”だ。二要素認証のサイトの偽物を用意し、その偽物サイトが本物のサイトのプロキシーのように動作して、認証情報を盗んでリアルタイムに悪用するという。

　二要素フィッシング攻撃は、2018年に攻撃ツールが公開されたことで、初級攻撃者でも使えるようになったという。「そういう意味で新たなトレンドといえる」（Shmilovitz氏）。

リバースヴィッシング（Reverse Vishing）攻撃

二要素フィッシング攻撃（2FA Phishing Attack）

“グレイウェブ”――SNSが闇マーケットにも使われる

　フィッシングなどのサイバー詐欺を育む環境については“グレイウェブ”が紹介された。ダークウェブ（闇サイト）とホワイトウェブ（普通のサイト）の中間を意味し、正当なサイトを犯罪目的に利用することを指す。

　具体的には、SNS上でのアンダーグラウンド活動だ。Facebook上で、盗まれたパスワードやカード情報の売買、あるいは犯罪の求人活動などの闇マーケットが開かれているという。TelegramやICQ、QQなどでも同様だ。YouTubeでも、サイバー犯罪のチュートリアルが公開されているという。

Facebookでの闇マーケット

YouTubeでのサイバー犯罪チュートリアル

　実際にデモとして、ラウンドテーブルに同席したRSAのDaniel Cohen氏が、本物のFacebookやTwitter、Instagramに投稿されている闇マーケット情報を参加者に見せた。キーワード検索すると、カード番号やセキュリティコードなどの組や、ログインIDとパスワードの組などのリストがそのまま、あるいはリンクとして掲載されているのが表示される。

　また、SNSアカウントのプロフィールには、これまでのサイバー犯罪実績が公開されている。そのほか、SNS上のグループに参加すると、犯罪情報のやりとりに参加できるという。

　SNSに無料で掲載される犯罪情報は、期間を限定して公開したり、最新の情報であれば一部を伏せて公開したりすることで、有料情報に誘導するのだと、Shmilovitz氏とCohen氏は説明した。あるいは、直接の金銭だけではなく、その世界での評価（レピュテーション）を高めることも目的だ。

　「このように、今日では誰でも詐欺師になれてしまうのです。」（Cohen氏）

RSAのDaniel Cohen氏

消費者が身を守るための“5カ条”

　ここまでの話をまとめた注意点として、「単純なソーシャルエンジニアリングはいまだに主要な攻撃手法」「サイバー犯罪者は誰もが使っているサイトを堂々と使っている」「被害に遭わないためには消費者の意識が重要」ということが語られた。

注意点まとめ

　特に、最後の“消費者の意識”について、Cohen氏は5カ条を挙げた。なお、この内容は同日、日本のRSAから「サイバーセキュリティ月間によせて：消費者がオンラインを安全に利用するための5カ条」として発表されている。

　1つめは「クリックする前に考える」。フィッシングの被害を避けるためにも、メールやSNSなどのリンクをクリックする前に、本物のサイトかどうかを確認すべきだという。

　2つめは「パスワードを定期的に変える」。Cohen氏いわく、パスワードは簡単に流出するので、すでに流出している可能性を考えて行動すべきという主張だ。また、パスワードの使い回しは避ける。このように、複雑なパスワードを使い回さず定期的に更新するためにも、パスワードマネージャーの利用をCohen氏は勧めた。

　3つめは「 スマートフォンにダウンロードするアプリに気を付ける」。前述のとおり、不正なアプリによるサイバー事件が急増しているためだ。そこで、アプリは厳選してインストールする必要があるとCohen氏は述べた。

　4つめは「ソーシャルメディアに気を付ける」。例えば、SNSに投稿した内容から、秘密の質問に使われる「母の名前」や「好きな旅行先」などが分かる可能性もある。こうした被害につながる情報を簡単に公開しないほうがよいという。

　5つめは「銀行やクレジットカードの取引明細書に必ず目を通す」。見覚えのない履歴がないか、明細をチェックすることが推奨された。