不正情報詐取防止

利用者が自ら実施できるフィッシング・スミッシング対策のご紹介

記事をシェアする:

2020年11月26日に国民生活センターより、「宅配便業者を装った『不在通知』の偽SMSに注意しましょう-URLにはアクセスしない、ID・パスワードを入力しない!」と題した報告書が公開されました。日々、個人を狙うサイバー犯罪は発生しており、利用者目線では、フィッシングやスミッシングが一番身近なサイバー攻撃です。

今回は、その身近なサイバー攻撃であるフィッシング・スミッシングの現状、および身を守るための知識についてわかりやすく説明します。

■フィッシング・スミッシングの現状

・フィッシング・スミッシングとは?


フィッシング (Phishing) とは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取することです。電子メールのリンクから偽サイト (フィッシングサイト) に誘導し、そこで個人情報を入力させる手口が一般的に使われています。


また、スミッシング(Smishing)とは、別名SMSフィッシング(SMS phishing)とも呼ばれSMSを用いたフィッシング詐欺のことを指します。

・2020年11月におけるフィッシング・スミッシングの現状

11月1日-30日にかけて個人で収集したフィッシングサイトの数は586サイトであり、内訳は以下です。

トラストレベルと状態遷移

図1:2020年11月1日-30日にかけて収集したフィッシングサイトの内訳

※Amazon、楽天、Lineのフィッシング サイトに関しては、上記収集より除外。

収集の絶対量の隔たりはありますが、個人で収集できたフィッシングサイトも三井住友カード、じぶん銀行、JCB、アプラスの順となっていました。個人の感想とはなりますが、収集している上では、じぶん銀行は、10月と比較すると増加傾向にありました。

11月は、国税庁や新生銀行グループのアプラス、ポケットカード、UCSカード、消費者金融系のアイフル・SMBCモビット・レイクALSA・プロミス、UCSカード、仮想通貨取引所のコインチェックなど、新規のフィッシングサイトが確認できています。

12月に入り、11月までの特定ブランドの情報を狙ったフィッシングサイトで確認できていなかった新情報の収集機能が付与された新たなフィッシングサイトも確認されており、攻撃者による別のサービスを狙った新たな取り組みが始まっていると考えられます。

図2:IDカードのアップロードが新たに機能追加されたフィッシングサイト

図2:IDカードのアップロードが新たに機能追加されたフィッシングサイト

■フィッシング・スミッシングから身を守るために

利用者が自ら身を守る方法は各所で多数紹介されていますが、毎月、数多くのフィッシングサイトを確認している私が一番お勧めする方法は、ブラウザのブックマーク機能の活用、もしくは正規アプリの活用です。

ログインを促すようなメールや SMSを受信した際は、メールやSMSに付与されているリンク機能は便利ですが、Twitterを流れるタイムラインで利用者の動向を見ている限り、そこを詐欺師に付け込まれることが多いように見受けられます。

重要な情報であれば、正規サイトでも確認できるため、ブックマークした正規の URL や正規のアプリを利用したサービスへログインを行うこと、これが最も有効な身を守る手段であると考えています。

今回は、利用者に重きを置いて紹介させていただきました。

IBM Securityは、常に新しいことを理解し、脅威に対し常に適応し続けています。IBMは高度なフィッシング検知機能とクライアントベースの詐欺防護機能を組み合わせることで、フィッシング検知のスピードと精度を大きく前進させています。 IBMの手法では、Trusteer Rapport ソリューションをデバイスにインストールしてあるエンドユーザーを迅速に保護します。そのため、 エンドユーザーは最も危険にさらされる情報開示時、フィッシング・ サイトがシャットダウンする前に保護されます。フィッシングの検知と保護に対する手法の改革については、IBMの担当者または IBM ビジネス・パートナーにお問い合わせいただくか、こちらのWebサイトをご覧ください。

また、IBM Securityではサイバー攻撃に対応するための包括的なサービスも提供しています。

<参考>フィッシングに関する各社の注意喚起

ブランドフィッシングの注意喚起URL
SMBC/三井住友カードhttps://www.smbc-card.com/mem/cardinfo/cardinfo4010384.jsp
じぶん銀行https://www.jibunbank.co.jp/announcement/2020/1030_03.html
JCBhttps://www.jcb.co.jp/news/phishing_20200929.html
新生銀行/アプラスhttps://www.shinseibank.com/info/news201119_security.html
MUFG/三菱UFJニコスhttps://www.cr.mufg.jp/member/notice/phishing/index.html
総務省https://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000438.html
エポスカードhttps://www.eposcard.co.jp/news/201016.html
KDDI/au IDhttps://news.kddi.com/important/news/important_20201120889.html
ソフトバンク/Softbank IDhttps://www.softbank.jp/mobile/info/personal/news/support/20200304a/
アイフルhttps://www.aiful.co.jp/notice/a2020111802/
ポケットカードhttps://www.pocketcard.co.jp/news/detail.php?id=315
NTTドコモ/dアカウントhttps://www.nttdocomo.co.jp/info/spam_mail/column/20190617/index.html
セゾンカードhttps://www.saisoncard.co.jp/news/pop/nc20191225_phishing.html
SMBCモビットhttps://www.mobit.ne.jp/other/info/201118.html
エムアイカードhttps://www2.micard.co.jp/notice/201030notice.html?link=notice1
PayPayhttps://paypay.ne.jp/help/c0143/
レイクALSAhttp://lakealsa.com/info/20201120a.asp
プロミスhttps://cyber.promise.co.jp/contents/pdf/20201129_sagi.pdf
住信SBIネット銀行https://www.netbk.co.jp/contents/company/info/2020/mg_notice_201106_info.html
コインチェックhttps://coincheck.blog/10826
AmericanExpresshttps://www.americanexpress.com/jp/benefits/service-security/safety-fraud/protecting-yourself/#phishing
メルカリhttps://about.mercari.com/press/news/articles/spam/
セブン銀行https://www.sevenbank.co.jp/support/info_notice07.html
SMBC/三井住友銀行https://www.smbc.co.jp/kojin/special/stop_phishing_crime/?link_id=dirct_ibIBB2002001
MUFG/三菱UFJ銀行https://www.bk.mufg.jp/emeg/120_20201203075624.html
UCSカードhttps://www.ucscard.co.jp/news/PCMS_H001_DETAIL_178614.html
ヨドバシhttps://www.yodobashi.com/ec/support/news/200421326750/index.html
国税庁https://www.nta.go.jp/data/021127jouhou.pdf
J:COMhttps://cs.myjcom.jp/knowledgeDetail?an=000004071

【著者情報】


岡田 理
執筆者

岡田 理
日本アイ・ビー・エム株式会社
セキュリティー事業本部
コンサルティング&システム・インテグレーション
第一サイバーセキュリティ運用サービス
ITSデリバリー セキュリティソリューション
ITスペシャリスト


田中 陽一郎
担当マネージャー

田中 陽一郎
日本アイ・ビー・エム株式会社
セキュリティー事業本部
コンサルティング&システム・インテグレーション
第一サイバーセキュリティ運用サービス 部長

2000年に日本アイ・ビー・エムに入社。Lotus Notes/DominoのSEとして各種プロジェクトに参画。
2004年頃よりIAM(Identity & Access Management)分野を担当。金融・公共・製造など様々なセクターのお客様向けに統合ID・アクセス管理システムや統合認証システムの設計・構築に従事。
2016年頃よりサイバーセキュリティー関連分野を担当。サイバーセキュリティー対策システムの設計構築やマネージドSIEM(Security Information & Event Management)導入と運用立ち上げ、セキュリティー監視システムの立ち上げとその後の運用支援など、多様なプロジェクトの提案から運用まで幅広く従事。
2020年4月より第一サイバーセキュリティ運用サービス部長として、多くの運用プロジェクトを担当。


小川 真毅
事業責任者

小川 真毅
日本アイ・ビー・エム株式会社
セキュリティー事業本部
コンサルティング&システム・インテグレーション
理事/パートナー
CISSP CISA CISM CBCI PMP MBA

 

More stories
2021-03-25

モバイル・エミュレーションの自動化による大規模な不正アクセスがIBM Trusteerの調査により判明

欧州及び米国の金融機関のモバイル・バンキングにおいて、防止策が取られる迄の数日の間に個々の不正アクセスで数百万ドルが搾取されるという大規模な不正送金事案が発生し、IBM Security Trusteerのモバイル・セキ […]

さらに読む

2021-01-27

利用者が自ら実施できるフィッシング・スミッシング対策のご紹介

2020年11月26日に国民生活センターより、「宅配便業者を装った『不在通知』の偽SMSに注意しましょう-URLにはアクセスしない、ID・パスワードを入力しない!」と題した報告書が公開されました。日々、個人を狙うサイバー […]

さらに読む

2020-09-08

ゲーム「TERMINAL」に挑戦: IBM Security コンサルティング・SI事業 統括責任者 小川真毅

もしも、ビジネスの基幹システムがハッキングされたら…。サイバー攻撃に対するインシデント対応ゲーム「TERMINAL」は、ある巨大な国際空港が舞台。サイバー攻撃から国際空港を守るため、3つのステージを順にクリア […]

さらに読む