ニュース
報告数は2年間で10倍近い伸び、激増するフィッシングメールにはどう対処する?
フィッシング対策協議会のイベントで解説
2022年3月2日 07:10
フィッシング対策協議会は2月15日に「第4回フィッシング対策勉強会」をオンラインで開催した。ここでは、フィッシング対策協議会事務局および一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)の平塚伸世氏が行った「講演2:フィッシング報告から見るなりすましメールの現状(2021年版)」の内容を紹介する。
2020年以降、フィッシングメールの報告数が激増しており、消費者にとっても事業者にとっても大きな問題となっている。2021年、フィッシング対策協議会へのフィッシング報告数は2019年比で9.4倍(2020年比でも2.3倍)と大きく伸び、100万通超のばら撒き型のフィッシングメール配信が繰り返されている。
一方、悪質なURLに対するURLフィルタリングが一般化し、フィッシングサイトの生存期間が短くなっていることから、犯罪者は多くのURLを次々と切り替えているという。例えば、報告を受けた60通のフィッシングメールについてはリンク先のURLが57種類確認できたそうだ。
フィッシング詐欺に悪用されるブランドや業種については、例えば、日本年金機構(ねんきんネット)、厚生労働省(コロナワクチンナビ)、生命保険会社、キャッシュレス決済サービスなど、一般の人が興味を持ちやすいものが次々と現れているという。
2021年末からは、犯罪者がフィッシング詐欺で入手した情報を使った別サービスへのログイン試行と思われる認証コード通知SMSの報告も増えている。キャッシュレス決済の不正利用を狙うフィッシング詐欺も増えているが、サービスに登録する携帯電話番号はクレジットカード番号や口座番号と同様、決済に結び付く情報になっているうえに、携帯電話番号は連絡用途にも利用するため、非公開とするのが難しい。
そのため、これらのフィッシング詐欺への対策として、誘導元となるメールやSMSへの対策が効果的になるという。
2021年は生命保険会社も被害、契約者貸付金制度を悪用し収益化?
次に具体的なフィッシングの文面が紹介された。報告数が非常に多いクレジットカード会社や新たに確認された生命保険会社をかたるフィッシングメールは、ほぼ同じ文面でブランド名(会社名)と連絡先だけを変えた使い回しが多く、本物と同じドメインを使ったなりすましが多かった。
2021年11月から12月には生命保険会社をかたるフィッシング詐欺が次々と発生しており、フィッシング詐欺で得たログイン情報で生命保険の受け取り口座を変更して契約者貸付の手続きを行い、不正送金する被害が発生しているという。
クレジットカード会社をかたったフィッシングメールでは、請求通知メールに偽装するタイプも見受けられた。
本物の請求通知メールをベースとしたもので、本物と同じようなタイミングで送付されるため「本物の請求通知メールがフィッシングメールとして報告される件数も多い」という。また、ユーザーは本物とフィッシングメールの区別がつかなくなっているため、クレジットカード会社からのメールを読まない傾向があるそうだ。
番外編として、厚生労働省をかたり、マルウェアのインストールへ誘導するフィッシングメールが紹介された。新型コロナウイルスに関連する情報などを盛り込み、添付のExcelファイルをダウンロードするよう促す文面になっているのが特徴だ。
このような、なりすましのフィッシングメールがブランドイメージの失墜にもつながる恐れがあるため、被害を抑えるための対策が必要だと強調した。
DMARCでなりすましのフィッシングメールを排除
実在するドメインからのメールアドレスに偽装する、なりすましのフィッシングメールは2020年6月ごろから急増していると平塚氏は説明する。本物と同じドメインを使用しているため、迷惑メールフィルターなどでブロックされにくく、メール送信のためのドメイン取得を行わなくてよいため、この手口を利用する犯罪者が増えているという。
対策として、事業者はメールの送信ドメイン認証「DMARC(Domain-based Message Authentication, Reporting, and Conformance)」を使うことで、現状では半数以上を偽物として判定可能なうえ、迷惑メールフォルダーへ配信するよう指定することもできるそうだ。
DMARCを導入したあるブランドの1カ月分のDMARCレポートを解析したところ、Gmail宛てだけでも月間約1425万通のなりすましのフィッシングメールが送られていたことを確認したという。その中には、10万通以上を送信しているIPアドレスが15件、1万通以上送信しているIPアドレスが286件あったため、今後は月間1万通以上のフィッシングメール送信はAbuse(迷惑行為)として対処できる方法を模索したいという(DMARCレポートにメールヘッダーが含まれていないので、現在のルールではメールのAbuseとして報告できない)。
また、約15万通のフィッシングメールを送信しているサーバーからのメールをチェックしてみたところ、2021年11月中旬まではSPFでチェックするEnvelope-Fromと(ユーザーが確認できる)Header-Fromが同じだったが、11月末にはSPFのみでは検出できないように、ほぼ1通ごとにEnvelope-Fromを変え、Header-Fromだけをなりすまして送信していた。これによって被害ブランド側が厳しいSPFレコードの設定を行ってもチェックをすり抜ける。「そういう仕組みをフィッシングメールを送る側は整えている」という。
事業者にはDMARCとともにブランドアイコン表示を、一般ユーザーは急かされずにじっくり考えた行動を
このように事業者にはDMARCの導入により、なりすましのフィッシングメールの排除を推進しているが、この他に一般ユーザーが正規メールを視認しやすくするために「ブランドアイコンをメーラーが表示する」方法がある。
Yahoo!メールでは2018年10月から「ブランドアイコン」を開始し、2021年7月からSPF認証にも対応している。これは、Yahoo!JAPANが独自に行っている取り組みだ。現在、約45のサービスについて正規のメールにロゴが表示されるようになっている。また、GmailではBIMI(Brand Indicators for Message Identification)の対応を行っている。
「日本国内ではYahoo!メールとGmailを多くの人が利用しているため、(フィッシングメールで困っている事業者が)この2つに対応すると高い効果が考えられる」と述べた。
一般のユーザーへのアドバイスに関しては、フィッシングメールを受信しても「急かされるまま行動するのではなく、一度立ち止まる」、「怪しいと思ったら件名や本文で検索したり、事業者に確認する」、「大量のフィッシングメールが届いている場合、必要ならばメールアドレスを変更する」ことを推奨していた。