近年フィッシングの発生件数は増加傾向にあり、攻撃方法も高度になっています。
フィッシングの概要から最近の手法の特徴、対策方法について、セキュアソフトのグループ会社であるサービス&セキュリティ株式会社(SSK)のセキュリティオペレーションセンター(e-Gateセンター)より情報が公開されましたのでご紹介いたします。
このニュースはこちらよりPDFファイルにてご覧いただくことができます。
1. はじめに
フィッシングとは、金融機関や有名企業をかたったメール(フィッシングメール)などから、攻撃者が用意した本物そっくりのWEBサイト(フィッシングサイト)へと誘導し、そこでクレジット番号やパスワードを入力させ、個人情報を奪うことを目的とした攻撃です。フィッシングは以前から存在する手口ですが、フィッシング対策協議会に2019年4月までに寄せられたフィッシング報告件数 (海外含む) によると、2019年に入ってからの報告数は右肩上がりとなっています。これまでにも注意喚起は行われてきましたが、近年はフィッシングメールやフィッシングサイトがオリジナルと見分けが付かないほど巧妙に作られており、見極めるのが難しくなっています。
そこで本記事では、フィッシング攻撃の基本から、最新の手口、フィッシングを回避するために気を付けるべきポイントをご紹介いたします。
2. フィッシングの概要
2.1. 攻撃の流れ
【図1 フィッシング攻撃の流れ】
① フィッシングサイトにアクセスさせる契機にはメールが主に使われます。「Google」や「Apple」、最近では「LINE」や「メルカリ」など老若男女が利用する有名なサービスをかたり、「アカウント更新のためログインしてください」や「不正ログインが検出されたため確認のためログインしてください」といった文面と共に、フィッシングサイトへのURLやアクセスするボタンを配置しています。メールの文面は、文法的に誤りがあったり、誤字脱字が見受けられたりすることもありますが、本物と見分けが付かないくらい作りこまれているものも中には存在します。
② URLをクリックすると、フィッシングサイトへと誘導されます。メールと同様、本物と見分けがつかないものもあり、注意していないといつも通りログインフォームにIDとパスワードを入力し、ログインボタンを押してしまいます。
③ ログインボタンを押すと、フィッシングサイトを設置した悪意のある者にIDとパスワードが知られてしまいます。いわゆる個人情報の流出です。
2.2. 最新手口の特徴
- フィッシングサイトのHTTPS対応
一昔前までは、オリジナルサイトはHTTPSに対応しているものの、フィッシングサイトはHTTPのままであるといった場合が多かったため、HTTPSならばフィッシングサイトではないと判断するケースがありました。しかし、現在では約半数のフィッシングサイトがHTTPSに対応しています。HTTPSだからといって真正なサイトであると判断するのは、非常に危ういことだと言えます。
- フィッシングサイトおよびフィッシングメールの本物度が格段に向上
本物と見分けがつかないフィッシングメールやフィッシングサイトが存在します。以前は不自然な日本語の文面や、デザインの違和感などで怪しいと思えることもありましたが、そのような判断はできない場合が多くなってきています。
- スミッシング
SMS+フィッシングの造語で、スマートフォンなどの携帯端末で用いられるSMS(ショートメッセージサービス)に有名企業をかたったメッセージを送る手法です。PCだけではなくスマートフォンにおいても、フィッシングの被害にあう可能性は十分にあります。また、スマートフォンやタブレットでは、アップデートを促す文面で不正なアプリをインストールさせるといった手口も見られるようになっています。
2.3. フィッシングの件数
フィッシング対策協議会に寄せられたフィッシング報告件数(図2)を見ていただくと、2018年10月までは下降していましたが、以降ほぼ右肩上がりとなっていることがわかります。よって、今後も増加することが予想されますので、ますますの対策や意識付けが必要です。
【図2 2019年4月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む)】
3. 対策方法
3.1. メールが来た時に注意すべきこと
- メールから直接WEBサイトにアクセスしないようにする
- 「重要」「緊急」などの急かす文言に焦らない
- 電子署名の確認
メールで重要な情報を伝えWEBサイトへのアクセスを促す場合、その情報はメールだけでなくWEBサイトにも書かれていることがほとんどです。常にフィッシングであるかどうか疑いの目を向け、メールのリンクからではなく、ブックマークや検索サイトから当該WEBサイトにアクセスすることが重要です。なお、メールに記載されているURLと実際のリンク先のURLを異なるものに偽装することは簡単にできます。そのため、メールのURLを目視で真正なWEBサイトのURLであると判断したとしても、アクセスするのは大変危険です。
フィッシングメールは「重要」「緊急」などの、利用者に早急な対応を迫る文言を件名や本文に入れていることが多いです。このような文言のメールを受信したとしても、前述したようにメールから直接WEBサイトにアクセスしないようにするなど、冷静な対処を心がけましょう。
多くの金融機関などでは、送信元が正規の事業者であることを証明するため、電子メールに電子署名を付与しています。怪しいメールが送られてきた場合、電子署名を確認することも対策になり得ます。
3.2. 普段のセキュリティ対策
- セキュリティソフトの有効化、最新版への継続的なアップデート
- 同じパスワードを別のサービスで使い回さない
セキュリティソフトの中には、怪しいWEBサイトへのアクセスをブロックするものもあります。パターン定義を最新に保ち、新しく登場するフィッシングサイトへのアクセスをブロックできるようにしましょう。
万一パスワードが流出した場合、ほかのサービスでも同じパスワードを使っていると流出したパスワードでログインされ、被害がさらに大きくなります。
3.3. セキュリティ機器の導入、監視
- WEBプロキシアプライアンス、IPSなどを導入し、不審なサイトへのアクセスを監視、ブロックする
プロキシやIPSは通信を監視するネットワーク機器です。怪しいWEBサイト一覧のデータベースを持ち、パケットに含まれるアクセス先のURLを検査し、データベースに一致するとアラートを発報したり、通信を遮断したりする機能を持っています。これらの機器を導入し、適切に運用及び監視することにより、重要な情報の流出や被害の拡大を抑えることができます。
4. e-Gate監視サービスについて
サイバー攻撃への対策としてセキュリティ機器を導入する場合、それらの機器の運用監視を行うことが重要です。"e-Gate"の24時間365日有人監視体制のセキュリティ監視サービスをご活用頂きますと、最新の分析システムを活用し精度の高い検知、専任のアナリストによる分析、迅速なセキュリティインシデント対応支援でセキュリティ対策を強化することが可能です。"e-Gate"のMSSの導入をぜひご検討ください。
■総合セキュリティサービス「e-Gate」
SSK(サービス&セキュリティ株式会社)が40年以上に渡って築き上げてきたIT運用のノウハウと、最新のメソッド、次世代SOC"e-Gateセンター"この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの"e-Gate"です。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。
【参考URL】https://www.ssk-kan.co.jp/e-gate/
5.参考情報
■ フィッシング対策協議会
※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標、または商標です。
≪お問合せ先≫
サービス&セキュリティ株式会社
〒150-0011
東京都渋谷区東3丁目14番15号 MOビル2F
TEL 03-3499-2077
FAX 03-5464-9977
sales@ssk-kan.co.jp