インテリジェントウェイブ メールマガジンVol.28

更新日:

▼本日のトピックス▼(目次)

フィッシング詐欺が拡大傾向に、最近の動向や事例を確認

フィッシング対策協議会は、20227月のフィッシング報告件数(海外含む)を公開しました。*1報告によれば、20223月より増加傾向にあるフィッシング報告件数が、6月から7月にかけて大きく増加しており前月より19,698件も増加しています。

また、毎月1,00010,000件の増加となっていたフィッシングサイトのURL件数(重複なし)は前月より21,971件増え49,188件、フィッシングに悪用されたブランド件数(海外含む)は前月より14件減り86件でしたが通年で横ばいとなっています。

増加傾向にあるフィッシング詐欺について、本記事ではフィッシング詐欺の動向・事例および対策について紹介します。

1.フィッシング詐欺の動向について

国内におけるフィッシング詐欺は、クレジットカードや信販系会社、ECサイトを偽るものが多く見られます。また、新型コロナウイルスの蔓延に伴い厚生労働省や特別定額給付金を偽るフィッシングも登場しています。*2コロナ過における生活様式の変化に便乗しフィッシング詐欺の動向にも変化が見受けられます。

海外では、フィッシングによるブランド名の悪用、金融機関に対するフィッシングが多く見られます。悪用されるブランド名、URL件数は年々増加の一途を辿っており、20191月は315件でしたが20226月は7023件と20倍以上に拡大しています。*4

2.事例について

増加傾向にあるフィッシング詐欺、中でも横行している「スミッシング」と直近フィッシング対策協議会が情報を公開した国税庁をかたるフィッシングメール(実際に私に届いたメールを添えて)を紹介します。

(1)コロナ過によりオンラインショッピングの需要が高まりこれにより被害が急増したSMSによるフィッシング(スミッシング)

SMSを受信した相手の不安を煽るような内容となっており、ジャンルも多岐に渡ります。

例として以下のようなSMSが届きます。

  • 宅配業者「ご本人様不在の為、お荷物を持ち帰りました。ご確認ください。https://x-x-x
  • 金融機関「お客様の口座は悪用された可能性があります。速やかにパスワード変更を実施下さい。変更はこちらhttps:x-x-x
  • クレジットカード会社「不正にショッピングを行う悪質な犯罪が増えています。不正利用の対策として一定期間ごとにお客様のログイン情報の変更をお願いしています。https:x-x-x
  • 時事ネタ「新型コロナウイルス無料予約受付中です。アプリをインストールしてください。https:x-x-x

正しいものか見分けがつかず、SMSに記載されているURLをクリックし操作を行うと個人情報、ID、パスワード、クレジットカード番号等が奪取されてしまいます。

(2)国税庁をかたるフィッシングメール

国税庁をかたるフィッシングの報告を受けているとして、フィッシング対策協議会が情報を公開しました。

フィッシングメールの件名は以下が確認されています。

  • 未払い税金のお知らせ
  • 【未払い税金のお知らせ】
  • 税務署からの【未払い税金のお知らせ】
  • 【督促状】滞納した税金がございます
  • 【国税庁】最終通知
  • 【国税庁】差押最終通知
  • <未払い税金のお知らせ>*3

所得税の督促について期限までに納付しないと不動産などを差し押さえるなどと記載しており、支払いサイトへと誘導します。誘導先は国税庁を模したフィッシングサイトでメールアドレスやクレジットカード情報などの入力欄があり、入力すると情報窃取の可能性があります。

私のところには届いていないだろうと思いメールボックスを確認してみると、国税庁をかたるフィッシングメールが825日から毎日のように届いていました。

文面をよく確認すると、文字の間に不自然なスペースや誤字脱字が見受けられます。

まさか私にも届いているとは・・・内容のみを確認しメールは削除しました。

皆様にも同様なフィッシングメールが届いているかもしれません、今一度メールボックスの確認をしてみてはいかがでしょうか。

※私宛に実際に届いた国税庁をかたるフィッシングメール

3.対応策

一番確実な対応策としては、メールに記載されたURLを迂闊にクリックしないことに尽きるかと思います。

少しでも怪しいと思しきメールのURLをクリックすることは避け、公式アプリや公式サイトからご自身のアカウントへアクセスし、事実確認をしたほうが安全です。

また、3年半分のフィッシングサイトのURLJPCERTが公開しています。*4

怪しいURLを発見した場合はこちらの情報と突合し悪用されているURLでないことを確認しましょう。

4.まとめ

フィッシング詐欺の攻撃手法は様々なものがあり巧妙な手口も存在します。基本的には偽物のサイトに誘導し、情報を入力させる仕組みです。ひやりとするような内容から思わずURLをクリックしてしまいがちですが、一度落ち着いてURLを確認することが大切です。組織内でフィッシング詐欺であることを見抜けるリテラシーを身に着け被害を抑えましょう。

Recorded Future

フィッシングなど外部脅威から企業のブランドを保護するインテリジェンスプラットフォーム

脚注(参考文献一覧)

 

  1. フィッシング対策協議会|2022/07 フィッシング報告状況(参照日:2022-9-6)
  2. フィッシング対策協議会|資料公開: フィッシングレポート 2022 の掲載について(参照日:2022-9-6)
  3. フィッシング対策協議会|国税庁をかたるフィッシング (2022/08/23)(参照日:2022-9-6)
  4. JPCERTCC|phishurl-list(参照日:2022-9-6)
攻撃を成立させない 新発想のエンドポイントセキュリティMorphisec 資料ダウンロードはこちら