クレジットカードの暗証番号など個人情報を詐取する「フィッシング詐欺」の報告件数が急増している。フィッシング対策協議会に寄せられた報告件数で、2021年は前年比2.3倍超の52万6504件となった。
騙られるブランドで多いのはAmazonのほか、メルカリ、auなど。特に多い金融系では三井住友カードが目立つ。協議会の林憲明氏は「ブランドイメージが毀損されるほか、正当なマーケティング目的での消費者へのアプローチの有効性が下がってしまう」と警鐘を鳴らす。
増加傾向は2020年から顕著となっており、19年比4倍の22万4676件だった。急伸する背景には、フィッシング詐欺を実施するために必要な、「サイバー犯罪のためのサービス(Crime as a Service)」の調達、構築のハードルが下がってきていると林氏は説明する。利用者情報を集める「フィッシャー」、メール作成と大量送信を請け負う「迷惑メール配信業者」、送信元を隠すための業者、発信者情報の開示や警察の捜査協力に消極的なホスティングサービスなどがパッケージ化されている。
フィッシング詐欺は時流に乗った詐取Webサイトが登場するのも特徴的で、2020〜21年では新型コロナ関連のケースが登場した。また生命保険の解約返戻(へんれい)金を担保に金を借りる、契約金貸付制度を悪用するものも登場した。貸付金を奪われてしまう恐れがある。
事業者にとっては、管轄外で生じる犯罪のため、発覚が後手に回ってしまう点が問題だ。また、自社に直接的な被害が及ぶことがないため、把握も困難となる。
ヤフー セキュリティ監視室の大角祐介氏は、「もし把握した場合は、自社を騙ったフィッシング詐欺が発生しているという事実を伝えることがまず大切」と説く。
「ただ、たとえばメールの場合、オフィシャルの差出人について『弊社からのメールは、○○@○○.co.jpです』といった案内をするのは悪手。そもそもメールの差出人は自由に設定できてしまうので、むしろフィッシング詐欺メールを開封させてしまいかねない。また、規模によっては、顧客へ事象をメールで知らせることもあるかもしれない。しかし、その場合はメールにURLを添えないほうがよい。それを真似たものが出回る可能性もある。SNSで周知するのも手として考えられる」(大角氏)
フィッシング詐欺のメールやショートメッセージの発信は、「マルウエア」と呼ばれる有害なソフトウエアに感染したパソコンやスマートフォンを踏み台に送信させることも少なくない。従業員の持つ端末が感染すると、意図に反して犯罪行為に加担してしまうといったケースも考えられる。
「悪質な業者による、マルウエアに感染させたパソコンを束ねたプラットフォームでメールを発信できる、DDoS攻撃(システムダウンやデータ消失を引き起こすサイバー攻撃)ができるといったセールストークも確認されている。モバイルのマルウエアもあり、感染した端末経由でショートメッセージを配信するケースも非常に多く報告されている」(林氏)
個人としてフィッシング詐欺に引っかからないようにするには、「見分けようとしないこと」と大角氏は話す。
「いわゆる『オレオレ詐欺』(=特殊詐欺)の際に本人に直接確認するのと同じく、何か案内が来た際にはまず公式アプリや公式Webサイトを確認するのが先。詐欺を見分けようとするのではなく、正しいサイトへアクセスする。その際、WebブラウザーのURL欄などに出る錠前のようなアイコンを過信しないようにしたい。『安全です』と示されるのは通信経路についてで、詐欺サイトと安全に接続しているだけのこと。詐欺サイトでも表示される」(大角氏)