関連するソリューション
マネージドサービス(運用・保守)
サイバーセキュリティ
サイバー・セキュリティ・ソリューション(CSS)部
エバンジェリスト 藤原 和紀
エバンジェリストの藤原です。
巷ではドコモ口座に端を発した不正引き出しがメディアを賑わせています。
ドコモ口座の話題についてはいろいろなメディアで取り上げられていますので、そちらを参照いただくとして、今回はどうやら事前に盗まれた口座情報が元になっていると話もありますので、最近のフィッシングの動向や被害の状況を見てみたいと思います。
フィッシングについては以前書かせていただきましたので、用語などはこちらを参考にしてください。
・【エバンジェリスト・ボイス】キャッシュレス決済とセキュリティ 2
まず、最新のフィッシング報告件数です。相変わらずの右肩上がりですが、ここ数ヶ月は急増と言っていい増え方です。
※外部サイト:フィッシング対策協議会 2020/08 フィッシング報告状況
傾向としては 2019 年末の報道にもありましたが、 2019 年の末に金融機関をかたる大量のフィッシングが確認されています。個々の金融機関をかたるサイトは今までもありましたが、これほど多くの金融機関を一度にかたるサイトはありませんでした。
※外部サイト:フィッシング対策協議会 多くの金融機関をかたるフィッシング (2019/12/26)
ただし、こちらのサイトに誘導するためのメールや SMS は確認されていないため、今回のドコモ口座との関連は分かっていません。しかし、以下のフィッシングサイトのランキングにも表れていますが、金融機関をかたるサイトは昨年から急増しており、最近ではランキングに載るほど増えていますので特に注意が必要な状況です。
※外部サイト:BB ソフトサービス株式会社 インターネット詐欺リポート( 2020 年 7 月度)
金融機関のトップは安定して三井住友銀行です。
ゆうちょ銀行は 10 位に入ってきた程度ですが、分母となる口座数が全く違いますので注意が必要です。
参考までに、三井住友銀行は約
2,700
万口座
(2017/3
現在
)
ですが、セブン銀行は
200
万口座
(2019/3
現在
)
、これに対しゆうちょ銀行は約
1
億
2,000
万口座で、家計部門の預貯金に占める割合(推計)は
20%
に上ると発表しており、他行とは桁が違う口座数になっています。
・フィッシングサイトに対する対策
フィッシング対策の基本は、 SMS やメールに含まれる URL は絶対に開かないことです。
対策サイトによってはまず URL を確認と書いている場合もありますが、正しい URL を正確に覚えることも難しく、攻撃者の偽装も巧みになっていますので開かないに越したことはありません。
サイトを開く場合はブックマーク済みの URL や検索サイトの結果を確認して開くようにしてください。
また、金融機関毎におすすめの対策がありますので、事前に公式サイトで確認する事をお勧めします。
・インターネットバンキングの被害
※外部サイト:警察庁 令和元年におけるサイバー空間をめぐる脅威の情勢等について
こちらは昨年のインターネットバンキングの被害数と金額になります。
令和元年の被害額は被害額約 25 億 2,100 万円とされており、今回ゆうちょ銀行の公表した約 380 件で約 6 千万円 (9/22 時点 ) の被害というのは全体のごく一部であることがわかります。
被害件数は銀行のセキュリティ対策が向上した事もあり、減少傾向が続いていましたが 2019 年下期から被害は急増していますが、昨年のフィッシングの増加に加え、ワンタイムパスワードなどの対策を突破するケースが出てきた為と推測されています。
尚、警察庁発表でもフィッシングの可能性が高いとは言われていますが、電話でのなりすまし等のアナログな手法による漏洩は引き続き多発しています。今までフィッシングサイトが確認されていない金融機関でも不正利用が確認されているのは、こちらが原因の可能性もあります。電話では暗証番号は伝えない、そもそも固定電話は出ずに留守電の折り返しにするなど、基本的な対策をお勧めいたします。
・財産犯による被害
これではタンス預金の方がましだという声もメディアで聞こえてきますので、比較として平成 30 年の強盗窃盗の被害額を出してみました。被害額は現金被害だけでも 173 億超となっており、これまた桁が違ってきます。
オンライン犯罪はこれまで被害額が補償されるケースも多く、戻らない可能性が高い現金よりもむしろ安心だと言えます。
※外部サイト:法務省 令和元年版 犯罪白書
また、以前から頻発しているクレジットカードの不正利用は次のようになっています。
※外部サイト:日本クレジット協会 クレジットカード不正利用被害の集計結果について
こちらも増加の一途で 2019 年の番号盗用による被害額は 222.9 億円もの被害額となっています。
クレジットカードについてはフィッシングサイトのトップを占める通販関係はクレジットカードの情報を狙ったものですし、ネット上には無数の詐欺サイトが存在していますので、非常に悪用されやすい環境が整ってしまっています。
この為、被害が非常に多いのですがクレジットカードの場合はオンラインでの不正利用保険が付帯されているものもあり、補償が充実しています。カード会社によってはオンラインでの不正利用が紛失・盗難保険で補償される場合もありますので、一度確認してみることをお勧めいたします。
・被害にあってしまったら
預金については預金者保護法という法律をご存じでしょうか。正式には「偽造カード等及び盗難カード等を用いて行われる不正な機械式預貯金払戻し等からの預貯金者の保護等に関する法律」という長い名称ですが、これはあくまでカードを使って預金が不正に引き出された場合に預金者を保護する法律です。残念ながらインターネットバンキング等で預金をだまし取られた場合はこの法律は該当しませんが、全国銀行協会ではインターネットバンキングにおける預金等の不正な払戻しが発生した場合には、客に過失がないときは原則補償と取り決めています。
一見すると安心ではあるのですが、「客に過失がないとき」という文言がポイントになります。例えば全国銀行協会のセキュリティ対策事例として「 ID ・パスワード等の入力を求めるメールを受信しても無視する」という一文もあります。
顧客の過失に対して、補償減額等の判断は各金融機関に委ねられていますのでフィッシング詐欺の被害にあうことがどの程度の過失と認定されるかどうかはわかりません。補償減額の可能性もありますので、一度全国銀行協会の HP やご自身の使っている金融機関の HP をご確認いただきたいと思います。
※外部サイト:全国銀行協会 インターネット・バンキングにおける預金等の不正な払戻しについて
・最近の動向について
スマートフォンの SMS でリンクを送信するフィッシングの手口が急増しており、スミッシングいう名称がつけられています。併せて、フィッシングサイト自体がスマートフォンに最適化されているケースが非常に多くなってきています。
攻撃者のターゲットは明確にスマートフォンに移行していますので、スマートフォンでは重要な操作は行わないなどの工夫を行ってください。
また、広告バナーからフィッシングサイトへの誘導も増えていますので、不用意にバナーを開くことも避けたほうが良いと思われます。
もう一つ注意して頂きたいのは、ランキングの上位を占めている Amazon 、楽天、 LINE 、 Microsoft 、 Apple などですが、サービスアカウントも狙われています。
流出すればクラウドストレージの情報流出やクレジットカードの悪用、なりすましだけではなく、詐欺の踏み台にされることもあります。
さらに、ビジネスで使用する Microsoft365 や Salesforce 、 Box 等を狙ったビジネスメール詐欺 (BEC) やフィッシングサイトも急増しています。
プライベートでもビジネスでも、クラウドはデータの宝庫となっており、攻撃者にとってはおいしいターゲットになっています。この為、サービス側で多要素認証 (MFA) 等の対応が出来る場合は、あらかじめ設定したおくことをお勧めいたします。
・最後に
今回お伝えしたかったのはドコモ口座やゆうちょ銀行が話題になっていますが、今回公表されたものは全体の一部であり、日常的にはもっと多くの犯罪が行われているという点です。
残念ながら、スマートフォンは広く普及しており、誰もがフィッシング詐欺などの被害者になる恐れがあります。スマートフォンは持っていなくても電話等で情報を盗まれる被害も後を絶ちません。
このため、今回のコラムのような情報はお年寄りや学生には届きづらいと思われるので、ご家族などにも注意を促すようにしていただけますと幸いです。
それでは、また次回までしばらくお待ちください。
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。