大手都市銀行を騙るフィッシング詐欺事件が、近年猛威を振るっています。
経済産業省管轄の下、セキュリティ情報の収集・発信およびインシデント対応の支援を行なっているフィッシング対策協議会があります。
このフィッシング対策協議会のWebサイトではフィッシング詐欺の事例掲載による注意喚起を行なっています。
このサイトの「緊急情報」では、不正サイトにユザーを誘導し、換金性の高い個人情報を窃取するフィッシング詐欺がたびたび行なわれていることがわかります。
フィッシング対策協議会が毎年発表しているフィッシングレポートによると、フィッシングに関する届出件数は2014年1月頃から急増しており、フィッシング詐欺の手口が使われたとされる事件の被害件数は2014年で1876件、被害総額で約29億1000万円と、前年比1.4倍、被害額ではおよそ倍にまで拡大しています。
具体的事例
フィッシング対策協議会は2014年9月19日、三菱東京UFJ銀行を編るフィッシング詐欺が複数報告されているとして注意を呼びかけました。
個人宛てに三菱東京UFJ銀行を名乗るメールが送られ、対象者を偽のインターネット口座のログイン画面に誘導することで、個人情報を盗み取るという手口です。
偽のサイトに誘導されたユーザーがIDやパスワードなどのアカウント情報を入力したことで、個人情報が不正に窃取されるという被害が出ています。
この事例におけるフィッシング詐欺の一連の流れ
- 三菱東京UFJ銀行を編る偽メールが個人宛てに送られる
- 同メールには「利用者の個人情報漏えい事件が起こりました」などと書かれており、本文中に記載されているURLにアクセスすると偽のログイン画面に誘導される
- 偽画面には、本物のログイン画面と同様の「偽画面にご注意 」といった警告画像が貼られており、画面構成なども本物のログイン画面と酷似している
- 偽のログイン画面へIDやパスワドなどのアカウント情報を入力させることで、それらの情報を盗み取る
フィッシング詐欺を成立させる環境
日本でもこのような状況に対していくつかの対策はとられていますが、まだまだ課題は多いのが現状です。
このような不正アクセスを行なうためには、マルウェアやエクスプロイトキット、あるいはボットネットなどいくつもの仕掛けが必要になります。
このような攻撃はすべて、ボットネットの一部となったPCから行なわれています。
これらのPCは、マルウェアにより乗っ取られ、本来の所持者でさえ感染していることに気付かない間に犯罪や迷惑行為に加担してしまっている状態なのです。
つまり、第三者のPCを乗っ取り、そこからさまざまな相手にメールを送信し、相手が気付かずに引っ掛かるのを待っているのです。
どう対応すべきか?
企業や組織では、アクセスにあたっての認証を強化することになるでしょう。
IDやパスワードだけではなく、ワンタイムパスワードや2要素認証といったアクセス制御を強化する仕組みの導入が必要となります。
ユーザー側の対策も必要です。
日本語のおかしいメールや、心当たりのないメールに記載されているURLにはアクセスしないこと、サイトにログインする際のパスワドは単純なものにしない、定期的にパスワードを更新するなどといった、フィッシング詐欺対策のポイントを押さえておくことも有効でしょう。
フィッシング詐欺のような不正アクセスを未然に防止するために、ボットネットなどの付随する仕組みも一緒に検出することが必要です。
つまり、社内や関連企業のPCがボットネットなどに組み込まれていないか確認することが大事なのです。
関連記事
近年の日本における情報流出事件の事例として「大手都市銀行を騙るフィッシング詐欺」について見てきました。
日本のサイバーセキュリティに関する三大脅威として、他に
- 「ベネッセの内部犯行による名簿流出」
内部犯行・金銭目的による名簿流出 「名簿の売買移転」は規制されていない!
- 「日本年金機構への標的型攻撃」
日本年金機構への標的型攻撃 どんな情報をどこでどのように扱うのかを考える
についてもそれぞれ紹介しているので、合わせてご覧ください。
その他の情報セキュリテイインシデント事例についてはこちらもご参照ください。