フィッシング詐欺やBEC（ビジネスメール詐欺）といった、ソーシャルエンジニアリングの手法を使用したメール攻撃が急増しています。これらは、人間心理の隙を突くため、受け手側もうっかりひっかかってしまうことが多くなっています。こうした攻撃には複数の対策を組み合わせることや、教育によって従業員のセキュリティ意識を高めることが効果的とされています。今回は、NTT Comの総合リスクマネジメントサービス「WideAngle」を例に、フィッシング詐欺対策について解説します。

急増するフィッシング詐欺

フィッシング詐欺は、実在する金融機関やサービスなどに見せかけてIDやパスワードなどの機密情報を盗み出そうとする詐欺で、似たような詐欺は古くからありました。それがインターネットの普及により、メールやWebサイトを利用するようになったことから、「洗練された手口（sophisticated）」と、「釣る（fishing）」を掛け合わせて「フィッシング詐欺（phishing）」と呼ばれるようになりました。現在ではさらに手法が洗練されてきており、企業の経営層や取引先になりすまし送金指示のメールを送る「BEC：Business Email Compromise（ビジネスメール詐欺）」が急増しています。

フィッシング詐欺は、実在するWebサイトにそっくりの偽サイトを用意し、メールを使ってユーザーを誘導、IDとパスワードなどを入力させて、その情報を盗み取るという手法です。この攻撃には人間心理の隙を突くソーシャルエンジニアリングの手法が用いられており、たとえば銀行やカード会社を装って「不正なログインを検知したのでアカウントを停止した」「新たなセキュリティ対策を導入した」などという内容のメールを送り、偽サイトへのリンクをクリックさせようとします。他には、オンラインゲームからのお知らせや宅配便の不在通知、ショッピングサイトからの購入確認などになりすますケースも見受けられます。こうしたメールのほとんどは受け手側を焦らせる内容となっており、多くの人が騙されてしまうのです。

ここにきてフィッシング詐欺は急増しており、さまざまな種類の偽サイトが見られるようになりました。以前は海外からの攻撃が多いせいか、おかしな日本語を使ったものが多かったのですが、最近では違和感のない文章を駆使するようになっており、受け手が引っかかる可能性も高まっています。

フィッシング詐欺によって盗み取られたログイン情報は、アンダーグラウンドの市場で売買され、不正アクセスや他のサービスへのログイン試行に悪用されるのです。また、この種の市場ではサイバー攻撃者向けにフィッシング詐欺に使うツールやクラウドサービスが提供されており、誰でも簡単にフィッシング詐欺が行えるようになっていることも、増加の背景にあると思われます。