情報セキュリティ白書　ダントツ人気コンテンツの 「国内のセキュリティインシデント」その2：フィッシング

　「フィッシング」という言葉をご存知ですか？フィッシングとは、インターネット上で情報を騙し取る詐欺行為のことです。例えば、あたかも本物のウェブサイトに見せかけて利用者を騙し、ID、パスワード、クレジットカード情報等を入力させる手口です。いずれも金銭窃取につながります。

　図1はフィッシングの過去3年の報告件数の推移です。2019年度の件数の多さは突出しており、前年の3倍超と、被害が広がっていることがうかがえます。

図1：フィッシングの報告件数推移（白書 P12）
出典：フィッシング対策協議会「月次報告書」（2017年4月-2020年3月）を基にIPAが作成

　特に2017年以降はネットショッピング（Eコマース）のフィッシングサイトが急増しているとのこと。そして、JPCERT/CC が収集したフィッシングサイトのプロトコルについて、2019年にはその半数以上（51%）のフィッシングサイトで、これまで安全と言われていたhttpsという通信方式が使われていたというのです。今までショッピングサイトが安全かどうかを確認するには、アドレスバーに表示されるURLにhttpsが表示されていればOKと、多くの人は教わってきました。それがもはや安全とは限らないという事態になっています。

　フィッシングという騙しの手口は、セキュリティソフトなどのツールで簡単に検出できないという点で厄介です。ではどうしたらいいのか？それは手口を知っておくことです。例えばNHKの夕方のニュース枠では「ストップ詐欺被害私はだまされない」というコーナーを設け、手口の解説を行っています。高齢者の多くが視聴していると考えられる時間帯でNHKがこのようなコーナーを設けるのは、「手口を知らなければ誰でも騙される」という問題意識があってのことではないか、と筆者はとらえています。

　フィッシングにはスマホを使った新たな手口も登場していますので、それを紹介します。
　皆さんの中に「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました」というSMSを受け取ったことのある人はいないでしょうか？このようなSMSの文面にはリンクが貼られており、これをクリックすると何らかの被害に遭う、というものです。メッセージを受けた端末がAndroid OSかiOSかによって、引き起こされる被害が異なります。この手口についてIPAに寄せられた相談件数を見てみましょう。

図2：宅配便の不在通知を装うSMSに関する月別相談件数推移（白書 P35）
出典： IPA

　相談件数が最多だった月は2019年3月でしたが、年度で集計してみると、2019年度は前年度の1.5倍と増加が顕著です。また、これらの手口は一様ではなく、段階的に手口が変化し続けており、最新の手口を知ることが有効な自衛策になります（他にも対策はありますが、それは次回に）。
　この機会に是非、白書P35 -P38にある「1.2.6 (1) (a) 宅配便の不在通知を装うSMS」の解説をご確認ください。
　また、IPAの「安心相談窓口だより」でも詳細な解説を行っており、より理解を深めることができます。この手口については新たに確認された画面遷移などを追記していますのでクリックしてみてください（2020年6月26日付）。

https://www.ipa.go.jp/security/anshin/mgdayori20200220.html

　次回は、「国内のセキュリティインシデント」その3として、フィッシングの詳しい手口や対策について取り上げます。「情報セキュリティ白書2020」はAmazonなどから購入いただけるほか（2,000円　税別）、IPAのウェブサイトでは、PDF版のダウンロードができます。興味のある方はぜひ。

https://www.ipa.go.jp/publish/wp-security/sec-2020.html