サイバー金融犯罪の領域における国内フィッシングの最新動向と手口の変化について

2020年以降、個人情報や認証情報の詐取を目的としたフィッシングと呼ばれる詐欺が、急激に増加しており大きな脅威となっています。

本記事では個人顧客を標的にした国内のフィッシングについて、近年の動向や手口の変化を解説します。

はじめに

フィッシングとは、犯罪者が実在する企業や組織を騙って利用者の個人情報、各サービスの認証情報、クレジットカード情報等を詐取しようとする詐欺のことであり、その際に用いられる偽サイトをフィッシングサイトと言います。

フィッシングサイトは、正規のサイトやサービスを模倣して作成され、正規のサイトだと勘違いした利用者から情報を詐取することを目的としています。

また、フィッシングには、サービスの利用者（個人顧客）の情報を狙ったものから、特定の企業を狙い、企業が保有する重要情報を詐取するスピアフィッシング※など様々な種類が存在します。

本記事では個人顧客を標的にしたフィッシングについて、近年の動向や手口の変化を解説します。

※スピアフィッシングとは：特定の企業や団体等、標的を絞ったフィッシングのことを指し、攻撃の準備段階で標的に関する情報を収集し分析した上で重要情報の詐取を試みる手口

フィッシングの動向

フィッシングの報告件数

近年フィッシングによる被害は増加傾向にあります。以下の図はフィッシング対策協議会[1]に寄せられたフィッシング報告件数の推移を示したグラフです。

フィッシング報告件数は増加している傾向にありますが、特に2020年下半期では報告件数が10万件を超え、以降は急激な増加が続いています。

直近と過去の報告件数を比較すると、2020年上半期では66,664件であったのに対し、2022年上半期では450,087件が報告されています。

つまり、2年間で約6.8倍まで急増しており、フィッシングの脅威がさらに高まっています。

フィッシングの標的になった業種

犯罪者がフィッシングの標的は、特定の業種だけでなく様々な業種が対象になっており、年々トレンドが変化しています。次のグラフはJPCERT コーディネーションセンター[2]より公表された標的とされた業種別割合の推移を示しています。（2017年、2019年、2021年の2年ごとの推移を記載）

2017年では、SNSや通信事業者を騙ったフィッシングサイトが多く確認されていました。

しかし、2019年になるとSNSを騙ったフィッシングサイトの割合が大きく減る一方で金融系のフィッシングサイトの割合が増加しています。金融系では特にクレジットカード会社を騙るフィッシングサイトの増加が確認されています。

2021年では、ネットショッピング利用者の増加に伴い、ECサイトを騙るフィッシングサイトの割合が増加し、金融系、通信事業者と合わせて全体のほとんどを占める形となっています。また、国税庁や水道局など、正規サイトにアカウント情報（ID、パスワード等）が存在しないようなサイトを標的としたフィッシングサイトも発生しています。

このように、年々標的とされる業種は大きく変化しています。近年においては、金融系に加えて政府機関のようなアカウント情報が存在しないサイトも標的になっており、今後どのような業種が標的とされるのかは予測がつかない状態といえます。

フィッシングの配信経路

フィッシングの配信経路は、これまで主にメールが用いられてきました。しかし、近年はSMS（ショートメッセージサービス）を用いたフィッシングに加え、その他の経路を用いたフィッシングなども確認されており、配信経路の傾向が変化しています。

特に、SMSを用いたフィッシングは近年増加しており、フィッシング対策協議会においてもSMSによるフィッシングへの注意喚起が増加している状況です。また、携帯大手キャリア3社も2022年に入ってからSMSの迷惑防止フィルタの無料提供を開始しており、SMSを用いたフィッシングが大きな脅威として捉えられています。

さらにSMS以外の経路を用いてフィッシングサイトのURLが配信されるケースも確認されています。

例として以下の3つの手口を紹介します。

• SNS（ソーシャル・ネットワーキング・サービス）の公式アカウントになりすまし、利用者に配信した個別メッセージからフィッシングサイトに誘導する。
• オークションサイトにて、落札後の取引メッセージ内でフィッシングサイトのURLを配信する。
• ゲーム内で利用されるチャット機能を用いて利用者とやり取りを行いフィッシングサイトに誘導する。

上述のように、犯罪者はフィッシングサイトに誘導するために、メールやSMSだけでなく多様な経路を用いてフィッシングサイトのURLを散布しています。

フィッシングサイトのURLについて

フィッシングサイトのURLは、利用者に正規のURLと勘違いさせることを目的に、利用者のURL打ち間違い（例：”google”を”gooogle”と入力してしまう）を期待したタイポスクワッティング攻撃を使用することもあります。

現在は対策が進められてきたこともあり、これらの手口の有効性は低下していますが、近年ではコンボスクワッティングと呼ばれる手口が流行しています。

コンボスクワッティングとは、標的とする企業のドメインと利用者が安心してサイトを閲覧してしまうような単語（secureやssl、loginなど）を組み合わせたフィッシングサイトのURL生成手法を指します。利用者を正規サイトのURLだと勘違いさせやすく、かつ単語の組み合わせや順序等を入れ替えることにより大量のURLを生成することが可能です。

ほかにも、近年はURLを英語以外の言語で表記することができる“Punycode”と呼ばれる機能を悪用したフィッシングサイトのURLも確認されています。この手口は、URLの一部や全体を英語に類似した文字に置き換えることで正規サイトに酷似したURLを表示させることが可能です。

たとえばPunycodeでギリシャ文字を使用すると、小文字のaと酷似したα（アルファ）や小文字のyと酷似したγ（ガンマ）といった文字で正規サイトに似せたフィッシングサイトのURLを生成することができます。

フィッシングで詐取される情報

フィッシングによって詐取される情報は、主に標的とされたブランドが提供するサービスの認証情報（IDやパスワードなど）ですが、近年のフィッシングではそれ以外の情報まで詐取しようとする傾向があります。

次の表はフィッシング対策協議会の注意喚起より、詐取しようとしている情報をまとめたものです。（2022年7～8月に注意喚起されたフィッシングサイトより作成）

国税庁を騙るフィッシングでは、正規サイトがクレジットカード情報を入力するような画面ではないにも関わらず、フィッシングサイトでは税金の滞納分を請求するという口実でクレジットカード情報入力画面を表示するなど、今まで標的となっていなかった企業や組織を騙って情報の詐取を狙うというのも大きな特徴です。

このようにブランドに関係なく、大半のフィッシングサイトがクレジットカードの情報を詐取しようとしています。 加えて、氏名、住所など、この情報だけ詐取しても不正な資金移動取引などの金融犯罪に直接繋がらないように見える情報の詐取も行われています。

フィッシング手口の変化に関する分析

（1）企業の対策が進んでいない経路の悪用

フィッシングサイトの配信経路は主にメールやSMSが利用されていますが、ほかにも様々な経路が用いられています。

主な配信経路であるメールにおいてはDMARCと呼ばれる対策が存在し、SMSでは大手キャリア等がフィルタリングで対策を実施しています。しかし、犯罪者も対策をすり抜けるような手口でフィッシングサイトを散布しており、いたちごっこになっているのが現状です。

また、SNS内のメッセージや、ゲーム内チャット、ブログ等のコメント欄など企業の対策が不十分な経路が、フィッシングサイトのURLの散布に利用されています。

現実的には、これらの多様な経路を全てカバーするのは困難だと考えられます。

（2）金融機関以外の業態を標的にしたクレジットカード情報詐取

前述の通り、フィッシングの標的とされているブランドは非常に多様になっています。しかし、多くのフィッシングサイトにおいて共通して詐取している情報がクレジットカード情報です。

クレジットカード情報は犯罪者が最も狙っている情報であり、クレジットカード取引を取り扱うECサイトだけでなく、国税庁や水道局などクレジットカードを取り扱わないサイトであっても、これらを騙るフィッシングサイトではクレジットカード情報の詐取を試みようとしています。

このようにして詐取されたクレジットカード情報はクレジットカードの不正利用（番号盗用）に使われており、近年、被害が増加傾向にあります。次のグラフは、日本クレジット協会[3]が発表しているクレジットカード不正利用（番号盗用）の被害額の推移を示しています。

ECサイトなどインターネット上の取引が増加したことでクレジットカードの利用者および利用可能サービスも増加しており、犯罪者がクレジットカード情報を狙うメリットも大きくなっています。

そのため、クレジットカード情報の詐取による不正利用被害も増加しているものと考えられます。

また、利用者がインターネット上のサービスでクレジットカード情報を入力する機会が増えたことで、入力することへの抵抗が薄れ、フィッシングが成功しやすくなっていることも被害増加の一因だと考えられます。

（3）個人情報の詐取による様々な金融犯罪への悪用

フィッシングで詐取される氏名、住所、電話番号などの個人情報は様々な犯罪に悪用される可能性があります。また、個人情報やクレジットカード情報などは、「テレグラム」等のチャットツールやダークウェブを通して犯罪者の間で取引が行われています。

氏名、住所が詐取された場合、犯罪者の顔写真を用いて運転免許証やマイナンバーカードなどの身分証明書を偽造することが可能です。偽造した身分証明書を用いることで、たとえば銀行口座や各種サービスアカウントの不正な開設、不当に入手した物品の買取業者への売却などで必要となる本人確認を突破できる可能性があると考えられます。

電話番号が詐取された場合、犯罪者は入手した電話番号を振り込め詐欺などの特殊詐欺やSMSでのフィッシングサイトの配信に使用する恐れがあります。

また、利用者がフィッシングサイトに個人情報だけでなくほかの認証情報なども入力してしまっている場合、犯罪者は詐取した情報を組み合わせることで携帯電話番号の乗っ取りを行うことが可能です。

携帯電話番号を乗っ取られた場合、SMS認証や電認番号認証など様々なサービスで利用されている認証を突破されてしまう可能性が考えられます。

このように個人情報が詐取されることは、フィッシングだけでなく、特殊詐欺など様々な犯罪に使用される恐れがあります。

まとめ

近年大きな脅威となっているフィッシングですが、配信経路の多様化、ブランドによらずクレジットカード情報を狙う手口への変化、個人情報の詐取による特殊詐欺などほかの犯罪への拡大など、手口が多様化・巧妙化することで被害拡大に繋がっています。

フィッシング対策協議会が公表している「フィッシング対策ガイドライン」では次の5つの対策を重要対策として挙げています。

• 利用者に送信するメールになりすましメール対策を施すこと
• 複数要素認証を要求すること
• ドメインは自己ブランドと認識して管理し、利用者に周知すること
• 全てのページにサーバ証明書を導入すること
• フィッシングについて利用者に注意喚起すること

前述の通り、犯罪者はサービスの提供やクレジットカードの取扱有無等に関わらず、どのような企業・団体であっても標的にする可能性があるため、全ての企業でしっかりと対策を実施していくことが重要です。

参考情報

[1]フィッシング対策協議会について

https://member.antiphishing.jp/about_ap/index.html

[2] JPCERTコーディネートセンターについて

https://www.jpcert.or.jp/about/

[3]一般社団法人　日本クレジット協会　概要

https://www.j-credit.or.jp/association/outline.html

ラックが提供するサービス

フィッシングサイト対策や認証の強化・不正取引の検知といったサイバー金融犯罪対策をご検討されている場合、ラックでは以下のサービスを提供しておりますので、ぜひご相談ください。

金融犯罪対策コンサルティング

https://www.lac.co.jp/consulting/finacial_crime.html

近年、金融サービスとIT技術を組み合わせたデジタル金融サービスが普及し、私たちの生活はより便利になりました。しかし、デジタル金融サービスの利用者の増加に伴って、これを標的とした金融犯罪の脅威が高まり、金融機関にとって大きな課題となっています。本サービスでは、お客様がフィッシングなど金融犯罪に対抗・対処するための支援を提供します。

AI不正取引検知サービス：AIゼロフラウド

https://www.lac.co.jp/solution_product/zerofraud.html

インターネットバンキングの不正送金など、私たちが日ごろから利用している決済サービスは、常に犯罪者たちに狙われています。これらの金融犯罪に対して、AI不正取引検知サービス「AIゼロフラウド（AI ZeroFraud）」は、AI技術を駆使することによって高い精度で不正取引を検知し、金融犯罪の被害発生を防止します。