2022年2月28日に情報処理推進機構(IPA)から情報セキュリティ10大脅威 2022が発表されました。同時に個人編の解説書が公開されています。
IPAによると情報セキュリティ10大脅威とは、以下の様に説明されています。
引用: https://www.ipa.go.jp/security/vuln/10threats2022.html
「情報セキュリティ10大脅威 2022」は、2021年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約150名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
つまり、2021年の傾向から2022年に特に注意すべき情報セキュリティ脅威についてランキングしたものです。
本日は、この10大脅威(個人)の中でも、特にセキュアブレインが着目している1位にランクインしたフィッシングについて簡単に解説したいと思います。
フィッシング詐欺とは?
フィッシング詐欺とは、公的機関、金融機関、ショッピングサイト、企業などを騙ったメールやSMSによって、正規Webサイトを装った偽サイト、所謂「フィッシングサイト」に誘導し、ID・パスワードなどの認証情報、クレジットカード情報、その他個人情報を入力させて詐取する攻撃のことです。
また、近年では、検索サイトに表示される広告に偽広告を表示させて、フィッシングサイトに誘導する手法なども報告されています。
フィッシング詐欺に関しては、近年、情報セキュリティ10大脅威の常連となっていましたが、ここ数年は増加傾向にあり、2021年8月以降のフィッシング報告件数は、毎月5万件前後という非常に高い水準で遷移しています(参考)。
(参考:https://www.antiphishing.jp/report/monthly/202202.html )
また、弊社のGREDネット詐欺レポートでもgredでチェックが検知した悪質URLのカテゴリと検知数(2022年1月)においてフィッシングサイトが全体の約83%を占めている状況であることが分かっています(参考)。
(参考:https://www.securebrain.co.jp/blog/2022/gred_report01/ )
関連する他の10大脅威
4位 クレジットカード情報の不正利用
5位 スマホ決済の不正利用
9位 インターネットバンキングの不正利用
10位 インターネット上のサービスへの不正ログイン
これらの脅威に関しても入り口の情報詐取には、フィッシング詐欺が用いられる可能性があります。この様な被害に遭わないためにも、フィッシング詐欺について理解して、正しい対策が必要です。
対策方法は?
対策方法ですが、以下が挙げられます。
(1)メール、SMSのリンクは開かない(2)利用するWebサービスは、予め登録したブックマークや正規のスマホアプリから利用する ということです。
非常にシンプルですが正規Webサービスに確実にアクセスするルートを確保しておくことでフィッシングサイトに誘導される可能性を格段に減らすことが可能です。
また、前述した通り、検索サイトの偽広告からフィッシングサイトに誘導されるケースもありますので、一時は、(1)メール、SMSのリンクは開かない、の対策として検索サイトからアクセスすることを推奨されたりしていましたが、これは、対策としては効果が弱まっていると考えられます。
また、対策として以下が呼びかけられることがありますが、これは非常に危険です。
・怪しいメール、SMSのURLは開かない
・URLが本物か確認すること
・httpsを利用しているか確認すること
怪しいメール、SMSのURLは開かないについては、近年、偽メールの文面の内容は非常に洗練されており、中には本物の企業からのメールを流用したと思われるものも存在しており、一見して偽メールと思われるものは減少しています。そのため、何を持って怪しいメールかを判断するのは難しいです。また、「サービスの停止」「アカウントの不正利用」「残高不足」など、利用者の不安を煽る内容のため冷静な判断が出来ないことがあります。ですから、そんな時こそ正規Webサービスに確実にアクセスするルートを使って状況の確認や問い合わせをすべきです。
URLが本物か確認することについては、かなりの難易度です。普段利用するWebサービスのログイン画面のURLをちゃんと覚えている人が居るでしょうか?また、ドメイン名についても、フィッシングサイトの中には本物と判別がつかない様な、よく似たドメイン名を用いられることも多く、偽物と本物のURLを見極めることは非常に難しいです。
「余談ですが、某講演会において、有名Webサービスの実在するドメイン名を列挙して、中にフィッシングサイトのドメインを数個紛れ込ませた際に、運営会社の人でも全てを正解することができない、という現場に筆者は居合わせたことがあります」
また、httpsを利用しているか確認することですが、フィッシングに関わらず悪用されるWebサイトの多くがhttpsで運用されています。そのため、httpsでも危険なケースが非常に多く存在しており、危険か否かの判断には使えない状況となってきています。
セキュアブレインの提供する対策
セキュアブレインでは、PCにおける不正送金・フィッシング対策サービスとして、PhishWallプレミアムを提供しています。 PhishWallプレミアムの機能である、フィッシング詐欺対策機能により、お客様のPC側から、アクセスした企業のWebサイトが真正なサイト(偽装されていない)であることを証明します。真正な場合、お客様のPCのブラウザに緑のシグナルが点灯し、ひと目でそのWebサイトが本物であることが確認できます。
加えて、PhishWallプレミアムはMITB攻撃対策機能により、10大脅威の9位インターネットバンキングの不正利用の対策の1つとしても有効です。
最後にこれまで、情報セキュリティ10大脅威(個人)1位の「フィッシングによる個人情報等の詐取」に関する概要や対策について述べさせて頂きました。情報セキュリティ対策には、正しい知識が不可欠です。情報セキュリティ10大脅威 2022(個人)の解説書には、全ての脅威に関して分かりやすく解説してありますので、是非ご一読ください。
情報セキュリティ10大脅威 2022(個人)解説書のURL
https://www.ipa.go.jp/files/000096258.pdf
