ニュース

報告数は2年間で10倍近い伸び、激増するフィッシングメールにはどう対処する?

フィッシング対策協議会のイベントで解説

 フィッシング対策協議会は2月15日に「第4回フィッシング対策勉強会」をオンラインで開催した。ここでは、フィッシング対策協議会事務局および一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)の平塚伸世氏が行った「講演2:フィッシング報告から見るなりすましメールの現状(2021年版)」の内容を紹介する。

 2020年以降、フィッシングメールの報告数が激増しており、消費者にとっても事業者にとっても大きな問題となっている。2021年、フィッシング対策協議会へのフィッシング報告数は2019年比で9.4倍(2020年比でも2.3倍)と大きく伸び、100万通超のばら撒き型のフィッシングメール配信が繰り返されている。

 一方、悪質なURLに対するURLフィルタリングが一般化し、フィッシングサイトの生存期間が短くなっていることから、犯罪者は多くのURLを次々と切り替えているという。例えば、報告を受けた60通のフィッシングメールについてはリンク先のURLが57種類確認できたそうだ。

フィッシングメールの報告数は2019年比9.4倍と大きく伸びており、消費者だけでなく事業者にとっても深刻な問題となっている。一方でURLフィルタリング対策に対応してフィッシングURLの使い捨ても増大している

 フィッシング詐欺に悪用されるブランドや業種については、例えば、日本年金機構(ねんきんネット)、厚生労働省(コロナワクチンナビ)、生命保険会社、キャッシュレス決済サービスなど、一般の人が興味を持ちやすいものが次々と現れているという。

 2021年末からは、犯罪者がフィッシング詐欺で入手した情報を使った別サービスへのログイン試行と思われる認証コード通知SMSの報告も増えている。キャッシュレス決済の不正利用を狙うフィッシング詐欺も増えているが、サービスに登録する携帯電話番号はクレジットカード番号や口座番号と同様、決済に結び付く情報になっているうえに、携帯電話番号は連絡用途にも利用するため、非公開とするのが難しい。

 そのため、これらのフィッシング詐欺への対策として、誘導元となるメールやSMSへの対策が効果的になるという。

2021年後半にはフィッシング詐欺が社会問題と言われるほど悪化したうえ、日本年金機構や厚生労働省、ホスティング会社、水道局、生命保険、キャッシュレス決済サービスなど、なりすます対象が増えている

2021年は生命保険会社も被害、契約者貸付金制度を悪用し収益化?

 次に具体的なフィッシングの文面が紹介された。報告数が非常に多いクレジットカード会社や新たに確認された生命保険会社をかたるフィッシングメールは、ほぼ同じ文面でブランド名(会社名)と連絡先だけを変えた使い回しが多く、本物と同じドメインを使ったなりすましが多かった。

 2021年11月から12月には生命保険会社をかたるフィッシング詐欺が次々と発生しており、フィッシング詐欺で得たログイン情報で生命保険の受け取り口座を変更して契約者貸付の手続きを行い、不正送金する被害が発生しているという。

フィッシングメールはブランドや連絡先だけを変更した使い回しが多いという
2021年は生命保険会社をかたる手口が見られるようになった。フィッシングメールもクレジットカード同様、会社名変更の使い回しが多い。フィッシング詐欺で得たログイン情報で生命保険の受け取り口座を変更する

 クレジットカード会社をかたったフィッシングメールでは、請求通知メールに偽装するタイプも見受けられた。

 本物の請求通知メールをベースとしたもので、本物と同じようなタイミングで送付されるため「本物の請求通知メールがフィッシングメールとして報告される件数も多い」という。また、ユーザーは本物とフィッシングメールの区別がつかなくなっているため、クレジットカード会社からのメールを読まない傾向があるそうだ。

 番外編として、厚生労働省をかたり、マルウェアのインストールへ誘導するフィッシングメールが紹介された。新型コロナウイルスに関連する情報などを盛り込み、添付のExcelファイルをダウンロードするよう促す文面になっているのが特徴だ。

 このような、なりすましのフィッシングメールがブランドイメージの失墜にもつながる恐れがあるため、被害を抑えるための対策が必要だと強調した。

クレジットカードの請求通知メールに偽装したフィッシングメール
厚生労働省をかたり、マルウェアのインストールへ誘導するパターン。このケースでは新型コロナウイルス情報として、多くの人が関心ある内容でダウンロードを促している

DMARCでなりすましのフィッシングメールを排除

 実在するドメインからのメールアドレスに偽装する、なりすましのフィッシングメールは2020年6月ごろから急増していると平塚氏は説明する。本物と同じドメインを使用しているため、迷惑メールフィルターなどでブロックされにくく、メール送信のためのドメイン取得を行わなくてよいため、この手口を利用する犯罪者が増えているという。

 対策として、事業者はメールの送信ドメイン認証「DMARC(Domain-based Message Authentication, Reporting, and Conformance)」を使うことで、現状では半数以上を偽物として判定可能なうえ、迷惑メールフォルダーへ配信するよう指定することもできるそうだ。

なりすましのフィッシングメールは送信元として、なりすました企業と同じドメインを使用している場合や実在する別組織、知人などのメールアドレスを使うパターンもある
2021年にはなりすましのフィッシングメールが多く拡散された。対策としては、DMARCを利用することで受信メールサーバーが送信元を詐称するメールの判断が可能だ。これによって消費者になりすましメールが届きにくくなる

 DMARCを導入したあるブランドの1カ月分のDMARCレポートを解析したところ、Gmail宛てだけでも月間約1425万通のなりすましのフィッシングメールが送られていたことを確認したという。その中には、10万通以上を送信しているIPアドレスが15件、1万通以上送信しているIPアドレスが286件あったため、今後は月間1万通以上のフィッシングメール送信はAbuse(迷惑行為)として対処できる方法を模索したいという(DMARCレポートにメールヘッダーが含まれていないので、現在のルールではメールのAbuseとして報告できない)。

あるメールアドレス宛てのフィッシングメールの着信を月別に分析したもの。DMARC対応のブランドが増えて検出率が増えたのを察知したのか、DMARC非対応ブランドに切り替えるなど、攻撃者側の機敏な対応が見られるが、2021年12月時点でDMARCによるなりすましのフィッシングメールの判定率は80%超と高い
DMARCを導入したあるブランドのDMARCレポートを分析したところ、Gmail宛てだけで月間約1425万通以上のフィッシングメールが送られていた

 また、約15万通のフィッシングメールを送信しているサーバーからのメールをチェックしてみたところ、2021年11月中旬まではSPFでチェックするEnvelope-Fromと(ユーザーが確認できる)Header-Fromが同じだったが、11月末にはSPFのみでは検出できないように、ほぼ1通ごとにEnvelope-Fromを変え、Header-Fromだけをなりすまして送信していた。これによって被害ブランド側が厳しいSPFレコードの設定を行ってもチェックをすり抜ける。「そういう仕組みをフィッシングメールを送る側は整えている」という。

2番目に多くフィッシングメールを送信していたサーバーのメールに対してさらに詳細に分析したところ、ある日からフィッシングメールのパターンを変化させてSPFレコードによるチェックを回避するようになっていたという

事業者にはDMARCとともにブランドアイコン表示を、一般ユーザーは急かされずにじっくり考えた行動を

 このように事業者にはDMARCの導入により、なりすましのフィッシングメールの排除を推進しているが、この他に一般ユーザーが正規メールを視認しやすくするために「ブランドアイコンをメーラーが表示する」方法がある。

 Yahoo!メールでは2018年10月から「ブランドアイコン」を開始し、2021年7月からSPF認証にも対応している。これは、Yahoo!JAPANが独自に行っている取り組みだ。現在、約45のサービスについて正規のメールにロゴが表示されるようになっている。また、GmailではBIMI(Brand Indicators for Message Identification)の対応を行っている。

 「日本国内ではYahoo!メールとGmailを多くの人が利用しているため、(フィッシングメールで困っている事業者が)この2つに対応すると高い効果が考えられる」と述べた。

ブランドロゴを表示させることで一般ユーザーが分かりやすくなる例として、Yahoo!メールのブランドアイコンとGmailがすでに導入しているBIMIを紹介。BIMIの方が標準的な取り組みだが国内事業者の利用は少ない
フィッシングメール対策協議会は、DMARCの導入を啓発しているものの、メールの到達率に影響が出るかもしれないといった誤解を事業者側にされないように、正しい情報提供を進めたいという。表面上のDMARC普及率よりもフィッシングメールで狙われるブランドが対応すれば、カバー率で十分効果があると判断しているようだ

 一般のユーザーへのアドバイスに関しては、フィッシングメールを受信しても「急かされるまま行動するのではなく、一度立ち止まる」、「怪しいと思ったら件名や本文で検索したり、事業者に確認する」、「大量のフィッシングメールが届いている場合、必要ならばメールアドレスを変更する」ことを推奨していた。

フィッシングメールがあまりにも多く届く場合、別のメールアドレスに変更することを対策として挙げた