不正情報詐取防止

利用者が自ら実施できるフィッシング・スミッシング対策のご紹介

2021-01-27

記事をシェアする:

2020年11月26日に国民生活センターより、「宅配便業者を装った『不在通知』の偽SMSに注意しましょう－URLにはアクセスしない、ID・パスワードを入力しない！」と題した報告書が公開されました。日々、個人を狙うサイバー犯罪は発生しており、利用者目線では、フィッシングやスミッシングが一番身近なサイバー攻撃です。

今回は、その身近なサイバー攻撃であるフィッシング・スミッシングの現状、および身を守るための知識についてわかりやすく説明します。

■フィッシング・スミッシングの現状

・フィッシング・スミッシングとは？

フィッシング対策協議会では、以下のようにフィッシングを定義しています。

フィッシング (Phishing) とは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取することです。電子メールのリンクから偽サイト (フィッシングサイト) に誘導し、そこで個人情報を入力させる手口が一般的に使われています。

また、スミッシング(Smishing)とは、別名SMSフィッシング（SMS phishing）とも呼ばれSMSを用いたフィッシング詐欺のことを指します。

・2020年11月におけるフィッシング・スミッシングの現状

11月1日-30日にかけて個人で収集したフィッシングサイトの数は586サイトであり、内訳は以下です。

トラストレベルと状態遷移

図1：2020年11月1日-30日にかけて収集したフィッシングサイトの内訳

※Amazon、楽天、Lineのフィッシングサイトに関しては、上記収集より除外。

フィッシング対策協議会における2020年11月におけるレポートによるとAmazon をかたるフィッシングの報告が多く、全体の 62.3 % を占めており、次いで三井住友カード、楽天、MyJCB、アプラス (新生銀行カード) をかたるフィッシングの報告も含めた上位 5 ブランドで、報告数全体の約 90.1 % を占めています。

収集の絶対量の隔たりはありますが、個人で収集できたフィッシングサイトも三井住友カード、じぶん銀行、JCB、アプラスの順となっていました。個人の感想とはなりますが、収集している上では、じぶん銀行は、10月と比較すると増加傾向にありました。

11月は、国税庁や新生銀行グループのアプラス、ポケットカード、UCSカード、消費者金融系のアイフル・SMBCモビット・レイクALSA・プロミス、UCSカード、仮想通貨取引所のコインチェックなど、新規のフィッシングサイトが確認できています。

12月に入り、11月までの特定ブランドの情報を狙ったフィッシングサイトで確認できていなかった新情報の収集機能が付与された新たなフィッシングサイトも確認されており、攻撃者による別のサービスを狙った新たな取り組みが始まっていると考えられます。

図2：IDカードのアップロードが新たに機能追加されたフィッシングサイト

図2：IDカードのアップロードが新たに機能追加されたフィッシングサイト

■フィッシング・スミッシングから身を守るために

利用者が自ら身を守る方法は各所で多数紹介されていますが、毎月、数多くのフィッシングサイトを確認している私が一番お勧めする方法は、ブラウザのブックマーク機能の活用、もしくは正規アプリの活用です。

ログインを促すようなメールや SMSを受信した際は、メールやSMSに付与されているリンク機能は便利ですが、Twitterを流れるタイムラインで利用者の動向を見ている限り、そこを詐欺師に付け込まれることが多いように見受けられます。

重要な情報であれば、正規サイトでも確認できるため、ブックマークした正規の URL や正規のアプリを利用したサービスへログインを行うこと、これが最も有効な身を守る手段であると考えています。

今回は、利用者に重きを置いて紹介させていただきました。

IBM Securityは、常に新しいことを理解し、脅威に対し常に適応し続けています。IBMは高度なフィッシング検知機能とクライアントベースの詐欺防護機能を組み合わせることで、フィッシング検知のスピードと精度を大きく前進させています。 IBMの手法では、Trusteer Rapport ソリューションをデバイスにインストールしてあるエンドユーザーを迅速に保護します。そのため、エンドユーザーは最も危険にさらされる情報開示時、フィッシング・サイトがシャットダウンする前に保護されます。フィッシングの検知と保護に対する手法の改革については、IBMの担当者または IBM ビジネス・パートナーにお問い合わせいただくか、こちらのWebサイトをご覧ください。

また、IBM Securityではサイバー攻撃に対応するための包括的なサービスも提供しています。

Managed Network Security Services（MNSS）：ファイアウォールやIDS/IPS、UTMなどネットワークセキュリティー製品やサービスに対する24時間365日の運用監視をご提供します。
IBM Security X-Force Managed Detection & Response Services (英語)：EDR製品に対するアラート分析、ポリシー管理、およびプロアクティブな脅威ハンティングサービス等をご提供します。
IBM Security X-Force Incident Response：インシデント発生時の初動対応から封じ込め、根絶、回復などの対応支援や、インシデント発生に備えた平常時の活動支援をご提供します。
IBM X-Force Threat Management：IBM QRadar SIEMとIBM Resilient SOAR Platformを組み合わせた脅威監視・分析のための環境の設計や構築・運用・監視をご提供します。

＜参考＞フィッシングに関する各社の注意喚起

ブランド	フィッシングの注意喚起URL
SMBC/三井住友カード	https://www.smbc-card.com/mem/cardinfo/cardinfo4010384.jsp
じぶん銀行	https://www.jibunbank.co.jp/announcement/2020/1030_03.html
JCB	https://www.jcb.co.jp/news/phishing_20200929.html
新生銀行/アプラス	https://www.shinseibank.com/info/news201119_security.html
MUFG/三菱UFJニコス	https://www.cr.mufg.jp/member/notice/phishing/index.html
総務省	https://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000438.html
エポスカード	https://www.eposcard.co.jp/news/201016.html
KDDI/au ID	https://news.kddi.com/important/news/important_20201120889.html
ソフトバンク/Softbank ID	https://www.softbank.jp/mobile/info/personal/news/support/20200304a/
アイフル	https://www.aiful.co.jp/notice/a2020111802/
ポケットカード	https://www.pocketcard.co.jp/news/detail.php?id=315
NTTドコモ/dアカウント	https://www.nttdocomo.co.jp/info/spam_mail/column/20190617/index.html
セゾンカード	https://www.saisoncard.co.jp/news/pop/nc20191225_phishing.html
SMBCモビット	https://www.mobit.ne.jp/other/info/201118.html
エムアイカード	https://www2.micard.co.jp/notice/201030notice.html?link=notice1
PayPay	https://paypay.ne.jp/help/c0143/
レイクALSA	http://lakealsa.com/info/20201120a.asp
プロミス	https://cyber.promise.co.jp/contents/pdf/20201129_sagi.pdf
住信SBIネット銀行	https://www.netbk.co.jp/contents/company/info/2020/mg_notice_201106_info.html
コインチェック	https://coincheck.blog/10826
AmericanExpress	https://www.americanexpress.com/jp/benefits/service-security/safety-fraud/protecting-yourself/#phishing
メルカリ	https://about.mercari.com/press/news/articles/spam/
セブン銀行	https://www.sevenbank.co.jp/support/info_notice07.html
SMBC/三井住友銀行	https://www.smbc.co.jp/kojin/special/stop_phishing_crime/?link_id=dirct_ibIBB2002001
MUFG/三菱UFJ銀行	https://www.bk.mufg.jp/emeg/120_20201203075624.html
UCSカード	https://www.ucscard.co.jp/news/PCMS_H001_DETAIL_178614.html
ヨドバシ	https://www.yodobashi.com/ec/support/news/200421326750/index.html
国税庁	https://www.nta.go.jp/data/021127jouhou.pdf
J:COM	https://cs.myjcom.jp/knowledgeDetail?an=000004071

【著者情報】

執筆者

岡田理
日本アイ・ビー・エム株式会社
セキュリティー事業本部
コンサルティング＆システム・インテグレーション
第一サイバーセキュリティ運用サービス
ITSデリバリー　セキュリティソリューション
ITスペシャリスト

2009年よりインフラエンジニアとして活動後、2015年に日本アイ・ビー・エム株式会社に入社。
ログ解析を得意とし、セキュリティーインシデント対応活動やSIEM導入業務に携わる。
趣味でフィッシングサイトの早期発見を行っており、フィッシング詐欺対策コミュニティーにて顕著な活動を行っている有識者として、フィッシング対策協議会からチャレンジコインを授与される。

担当マネージャー

田中陽一郎
日本アイ・ビー・エム株式会社
セキュリティー事業本部
コンサルティング＆システム・インテグレーション
第一サイバーセキュリティ運用サービス部長

2000年に日本アイ・ビー・エムに入社。Lotus Notes/DominoのSEとして各種プロジェクトに参画。
2004年頃よりIAM（Identity & Access Management）分野を担当。金融・公共・製造など様々なセクターのお客様向けに統合ID・アクセス管理システムや統合認証システムの設計・構築に従事。
2016年頃よりサイバーセキュリティー関連分野を担当。サイバーセキュリティー対策システムの設計構築やマネージドSIEM（Security Information & Event Management）導入と運用立ち上げ、セキュリティー監視システムの立ち上げとその後の運用支援など、多様なプロジェクトの提案から運用まで幅広く従事。
2020年4月より第一サイバーセキュリティ運用サービス部長として、多くの運用プロジェクトを担当。