フィッシングに悪用されやすいブランドとは！？

以前、フィッシング詐欺についてご紹介しましたが、実は2020年5月のフィッシング報告件数が跳ね上がっています。

今回は、「フィッシング詐欺のおさらいと現状」についてご紹介します。

→フィッシング詐欺についてはこちらの記事でも紹介しています。

新型コロナウイルスよりも怖いのは人間！？　～不安につけ込む卑劣な手口とは？～

そもそも「フィッシング詐欺」ってなに？

警視庁によると「フィッシング」についてこのように説明されています。

銀行等の企業を装ってメールを送り、メールの受信者に、実在する企業の偽ホームページにアクセスさせて、そのページにおいてクレジットカード番号やID・パスワード等を入力させるなどして、不正に個人情報等を入手する行為をいいます。
不正に入手した個人情報を悪用し、他人になりすまして買物をしたり、インターネットバンキングからお金を引き出したりするなど、大きな問題となっています。

聞き出そうとする情報例

クレジットカード番号
キャッシュカード番号
暗証番号
住所
氏名
電話番号
オークションやオンラインバンキングサイト等のIDやパスワード

＊当然ですが、金融機関がメールでカード番号や暗証番号を聞いてくることはありません。

注意喚起で解決するのなら、「不審なメールには気をつけて！」で、この記事もこれで終わりたいのですが、実は2020年5月に報告されたフィッシング対策協議会の報告では、被害件数が1万件を軽く超えてしまいました。

フィッシング対策協議会の報告とは？

フィッシング対策協議会は、2005年4月に発足。

フィッシング詐欺に関する事例情報、技術情報の収集及び提供を中心に行うことで、日本国内におけるフィッシング詐欺被害の抑制を目的として活動している協議会です。

それでは、2020年5月の報告書について見ていきましょう。

フィッシング報告状況

2019年6月～2020年5月（1年間の報告件数）

フィッシングの報告はどれくらいあったの？

（表1）　フィッシング報告状況

新型コロナウイルスにより外出自粛をしていた時期が、最も報告状況が増えていることが分かります。表1から、4月に1万件を超え、5月にはこの1年で最高の1万4千件を越えています。

2019年6月（1年前）と比較すると、2020年5月は約4倍も増加しています。

この原因の1つは、「外出自粛によりネットを使う人が大幅に増えたことで、もともと仕掛けられていたフィッシングの網に引っかかった人がそもそも増えてしまった」ことが考えられます。

それでは、そもそも私達をだますエサとなる「フィッシングサイトのＵＲＬ件数」に変化はあったのでしょうか？

フィッシングサイトのURL件数の変化は？

（表2）　フィッシングサイト　～ＵＲＬ件数～

（表2）を見ると2019年6月から「URL件数」は増加し、2020年3月には4,000件を越えることが当たり前になっています。

まるで、外出自粛を狙ったようにも見えますよね。2019年6月と2020年4月を比較すると、フィッシングURLは約3倍も増加しています。

ここで言えることは、「少なくとも2020年2月からすでにフィッシングURLは増えていた」ということになります。

ところが、悪用されたブランドの数はほとんど変わっていません。

悪用されたブランド件数は増えてないの？

（表3）　フィッシングに悪用されたブランド件数

（表3）より、フィッシングに悪用されたブランド件数は、2019年12月が最多の67件でしたが、その後若干の増減はありますが、2020年5月には54件に減少しています。

最も少なかった2019年9月と比較しても、2020年5月との差は7件増えただけでした。

つまり、「ネット利用者の増加」や「フィッシングURLが増加」したことで、フィッシング報告は増えましたが、悪用されるブランドはかなり限られていることが分かります。

例えば、2020年5月のフィッシングURLは4052件の内、悪用されたブランドは54件あったことが分かっていますよね。

あくまでも報告された件数だけの話しではありますが、1つのブランドに対して約75件のフィッシングURLが存在していることになります。

ただ、実際は一部の有名ブランドに偏っているようです。

フィッシングに悪用されやすいブランドとは？

報告の中で多かったのは、以下の4社でした。

Amazon
Apple
LINE
楽天

この4社を語るフィッシングメールが、繰り返し大量配信されていることがすでに分かっています。

ただ、忘れてはいけないことはほかにも50社以上もブランド（会社名）が悪用されている点です。

さて、ここからが今回の記事で最もお伝えしたかったことですが、この偽サイトはなにも企業だけの問題ではありません。

実は、国の機関もフィッシングの対象にされてしまっています。

「厚生労働省」や「警察庁」の偽ページ！？

厚生労働省の場合

厚生労働省では、このような注意喚起が出されています。

厚生労働省ホームページになりすました偽のホームページに誘導し、不正に個人情報を入手しようとする行為であり、主な手段として、以下の方法があります。

(1)厚生労働省からのメールを装い、メール本文に記載したリンクから受信者の皆様を偽ホームページに誘導する。
(2)他のサイトのリンク又は検索エンジンの検索結果等のリンクから偽ホームページに誘導する。

被害防止対策として・・・

厚生労働省ホームページのアドレスは、https://www.mhlw.go.jp/です。
厚生労働省ホームページをご利用する際には、ブラウザのアドレス欄を必ずご確認ください。

厚生労働省ホームページを騙るサイトを発見した場合には、「WEBサービス利用者を狙ったフィッシングに注意！（警視庁公式サイト）」の「フィッシング110番」へ通報をお願いします。

普段から、アドレスまで確認しないとは思いますが、厚生労働省の対策として掲載されています。

警察庁の場合

警察庁による注意喚起

アダルトサイト等を閲覧した際に、「警察庁サイトを装う偽サイト」へ誘導。
違約金名目で「i Tunesカード」を購入させる。
「i Tunesカード」のコード番号を送信させる。

こういった流れで、金銭をだまし取る詐欺サイトが確認されています。

そもそも、警察庁がわざわざサイトを通じて金銭等を要求することはありません。

さらに、サイトにアクセスしたときに不正なプログラムに感染させる悪質なサイトまであります。セキュリティ対策ソフトを常に更新することも必要な対処として注意喚起がなされています。

＊ちなみに、警察庁のウェブサイトの正しいアドレスはwww.npa.go.jp です。不正なアドレスにアクセスしないようにご注意してください。

最後に

「フィッシングに悪用される」と言うことは、それだけ日本に浸透しており多くの人が利用している企業だといえます。

ただし、悪用されるブランドは企業ばかりではなく、国の機関である場合まであります。サイトにアクセスするときは、できる限りリンクではなく自分で検索するようにした方が安全でしょう。

そもそも、信用できるか分からないサイトのリンクなら、偽物である可能性を疑う必要があるでしょう。

そういう意味では、私のサイトにあるリンクも信用してはいけないことになりますが、世知辛いですね・・・

警視庁では、フィッシング防止策として以下が挙げられています。

メールソフトやWebブラウザのフィッシングサイト判別機能を活用する

フィッシングを未然に防止するセキュリティ対策機能が付いたウイルス対策ソフト等を導入し、常に最新の定義ファイルにしておく

フィッシングメールはHTML形式で作成されていることがあるため、メールはテキスト形式で受信するようにする

メールの内容に不明な点がある場合は、メールに記載されている連絡先ではなく、企業のサイトへ直接アクセスし、そちらに記載されている連絡先に確認をする

メールの差出人欄は偽造できるため、メールのヘッダを表示させ、送信元IPアドレスを調べて確認をする

インターネット上で、個人情報など重要な情報を入力する際には暗号化されるのが一般的であるため、URLがhttps://から始まっていることを確認し、電子証明書の内容を確認する