ニュース

警察庁が解説するフィッシング詐欺の事例と対策、民間企業には「DMARC」での対応と被害相談・報告をお願い

「フィッシング対策セミナー 2022」開催

サイバー空間はすでに公共空間に、犯罪対策が必要

 フィッシング対策協議会は11月4日、「フィッシング対策セミナー 2022」を開催した。ここでは警察庁の中嶋昌幸氏(サイバー警察局サイバー企画課官民連携推進室長)による講演「警察におけるサイバーセキュリティ対策~フィッシング対策を中心に~」の内容について紹介する。

 冒頭、中嶋氏は「サイバー空間は(以前はある程度の装備と知識をもって参加していたものが)今や全国民が参加する公共空間」と述べ、必然的にサイバー空間での犯罪にも対応しなければならないとコメントした。

黎明期のインターネットは「登山者」のようにそれなりの準備と機材も必要だったが、現在は誰でも利用する公共空間となるので適切な対策が必要だという。内閣府の調査によると「犯罪に遭うかもしれないと不安になる場所」については「インターネット」との回答が6割以上に上った

 コロナ禍によって急速にデジタル化が進み、電子決済やeKYCなど重要なやり取りが非対面のサイバー空間に移行、さらに働き方改革の一環としてスタートしたテレワークも拡大している。

 一方、インターネット上の犯罪も急増している。ランサムウェアによる被害報告も2020年上半期と比較して2022年上半期は5倍以上となり、侵入経路はVPN機器(68%)やリモートデスクトップ(15%)が多い結果となった。

ランサムウェア被害の報告件数も増大。侵入経路はVPN/RDPが多い結果となった

 ランサムウェアの被害を受けた国内企業はすでに何件も確認されており、最近も医療機関がランサムウェアによって業務が停止し、市民生活に重大な影響が出たケースもある。さらに政府機関や重要インフラ事業者を標的としたサイバー攻撃も世界的規模で報告されている。

 国家レベルで実行されたサイバー攻撃に関しては、北朝鮮当局の下部組織とされるサイバー攻撃グループ「ラザルス(Lazarus)」が日本の暗号資産関連事業者を標的にしているケースについて紹介した。10月には警視庁や金融庁、内閣サイバーセキュリティセンターが暗号資産関連事業者等を標的としたサイバー攻撃に関する注意喚起を実施した。

北朝鮮当局の下部組織とされるラザルスと呼ばれるグループが日本の暗号資産関連事業者を標的としているとして注意喚起した

フィッシング対策における産学官の取り組み、企業にDMARC対応と被害報告をお願い

 フィッシング詐欺に関しても、相談件数はうなぎのぼりであり、クレジットカード事業者や通信事業者を装ったものが最近の報告では多いという。

 フィッシング詐欺によりログイン情報を盗まれた結果、不正送金に発展する事例も8月と9月に急増し、9月22日には警察庁が注意喚起を実施している。

インターネットバンキングのフィッシング被害は一時期鎮静化したが、2022年8月から急増。8月から金融機関をかたるフィッシングメールが増えたためだという

 国税庁や金融庁をかたったフィシング詐欺の報告も寄せられており、税金の納付をクレジットカードやプリペイドカードで行うよう促すフィッシングサイトも確認されている。

 このような現状から中嶋氏は警察庁のフィッシング対策における官民連携の状況を説明した。現在、フィッシングメールの対策として警察庁が日本サイバー犯罪対策センター(JC3)を経由して届く情報と、利用者からの都道府県警察への相談や被害届をまとめ、アンチウイルスベンダーやフィルタリング事業者などに提供する。これによって、ウイルス対策ソフトやブラウザ機能などでの警告表示、フィルタリングアプリや通信機器でのフィルタリング、迷惑SMSの遮断などに活用しているという。

国税庁をかたるフィッシングメールも確認されている。URLのクリックを促している
参考ながら筆者の元に届いた納税を促すメール。文章も誤字や抜けが多く、納付期限も中途半端かつ期限を過ぎてから送られており、支払い先のURLも稚拙だが、今後洗練化される可能性は高い
フィッシングサイトの情報は都道府県警察とJC3の情報をまとめて、国内15社にURL情報を毎日提供することで、問題サイトへの接続を阻止するウェブブラウザーの機能やアプリなどに活用される
JC3は産学官でサイバー空間の驚異の特定・軽減・無効化を目指す仕組みで米国のNCFTAをモデルに2014年に設置された。警察庁は賛助会員として意見交換・情報共有を行っている

 フィッシング詐欺への対処法について中嶋氏は、心当たりのないメッセージのリンクはクリックせず、ウェブブラウザーのブックマークや公式アプリからのアクセスを推奨した。また、フィッシングにより不正アクセスされた際にパスワードが窃取されないように、クラウド上に情報を保存できる機能を備えるメモアプリや、ウェブメールの下書きなどにパスワードを書いておかないように促した。

海外犯がメモアプリのハッキングから銀行などのアカウント情報を盗んだケースがある。クラウドを利用し複数端末でパスワードを管理するアプリもあるのでなかなか難しい問題だ

 また、会社組織で行うフィッシングメールへの対応として、送信ドメイン認証「DMARC」の活用を促した。2件の事例では、いずれもコールセンター対応が大幅に減ったことをメリットとして挙げている一方、完全運用に至るまでの期間が長いこと、経営陣を巻き込んだ合意形成が重要である点について説明した。

 また、DMARCの利用には「SPF」もしくは「DKIM」の導入が必須となるが、SFPを使用しているだけでDMARCを導入すると、利用者がメール転送を行っているとDMARC:Failとなることを注意事項として挙げていた。

警察庁が民間企業にヒアリングしたDMARC導入事例