■目次
1:フィッシング詐欺が過去最多
2:なぜ、組織を狙ったフィッシングが減らないのか
3:近年発生している企業を狙ったフィッシング詐欺
・サポート詐欺
・ボイスフィッシンング
4:フィッシング対策
5:さいごに
フィッシング詐欺が過去最多
2025年1月に発表されたフィッシング対策協議会事務局の報告結果によると、2024年12月のフィッシング詐欺の報告数は23万2290件となりました。2024年1月から12月の1年間の累計件数は171万8036件と過去最多となっています。
出典:フィッシング対策協議会「2024/12 フィッシング報告状況」
2024年12月のフィッシングサイトのURL件数も、12万415件と高い水準となっています。
出典:フィッシング対策協議会「2024/12 フィッシング報告状況」
近年、フィッシング攻撃を行うための設定や管理代行ツールを、ダークウェブで販売するPhishing as a Service(PhaaS)が広がっています。これにより専門知識がなくても簡単に攻撃を実行できるようになり、今後さらにフィッシング詐欺の増加が予測されます。
なぜ、フィッシング詐欺は増え続けるのか
フィッシング詐欺が増え続けている理由の一つは、PhaaSの出現などによる攻撃の手軽さが挙げられます。メールであれば一度に不特定多数の相手に攻撃を仕掛けることができ、攻撃側にとってはあまり労力をかけずにリターンを得られるメリットがあります。
また、フィッシング詐欺の増加に加えて、手口が巧妙化していることにも注意が必要です。
例えば、フィッシングメールに正規サイトのデザインやロゴデータを複製して送信する、正規URLと間違えるような文字列を使用する、生成AIなどを活用して誤字・脱字が添削されている、などの工夫により見た目では判別が難しくなっており、フィッシング詐欺による被害が今後さらに拡大する恐れがあります。
近年発生している企業を狙ったフィッシング詐欺
フィッシング詐欺の対象は一般消費者が中心と考えられがちですが、近年は、企業を狙った攻撃被害も報告されているため、企業・組織においても注意が必要です。
企業を標的としたフィッシング攻撃としては、音声を利用した手法であるサポート詐欺やボイスフィッシングが近年注目されています。警察庁は、これらの攻撃被害が発生していることから2024年後半に企業や組織向けに注意喚起を実施しています。
・サポート詐欺とは
警察庁の定義では、パソコンでインターネットを閲覧中に、ウイルス感染の偽画面の表示や警告音の発生で不安を煽り、画面に表示されたサポート窓口に電話をかけさせ、サポート名目での金銭搾取や遠隔操作ソフトをインストールさせる手口です。
IPAの「サポート詐欺レポート」によると、サポート詐欺の相談件数は2023年後半から2024年前半にかけて過去最多で増加していることが分かっています。企業や、病院、自治体、行政法人などから被害が報告されており、警察庁からも2024年10月に注意喚起が発表されました。
独立行政法人情報処理推進機構(IPA)IPA「サポート詐欺レポート」 2024をベースにALSIで作成
・ボイスフィッシンングとは
2024年12月には警察庁から企業向けにボイスフィッシングの注意喚起も発表されました。
ボイスフィッシングとは、攻撃者が金融機関などになりすまして企業や組織の従業員から電話でメールアドレスを聞き出し、そこから偽のWebサイトへ誘導する手口です。事前に電話で会話をしているため、その後メールで届いたフィッシングURLにアクセスしてしまいやすくなります。
図 1ボイスフィッシングの架電イメージ
出典:警察庁「サイバー警察局便り」
これらの音声を活用したフィッシング詐欺被害は、下記をはじめとした多数のリスクがあります。
不正送金被害リスク
サポート詐欺やボイスフィッシングでは、サポート費用の支払いで騙されたり、金融機関のなりすましで金銭を要求されたりすることが多く、不正送金の被害にあうリスクがあります。
情報漏えいリスク
サポート詐欺により遠隔操作された場合、企業や組織は情報漏えいの可能性を否定できず、セキュリティインシデントとして扱われます。個人情報などの機密情報にアクセスできる端末が遠隔操作された場合、当人や個人情報保護委員会への報告、補償および対応にかかるコストが発生する可能性があります。
またボイスフィッシングにおいても、フィッシングURLに会社情報や社員情報、口座情報などを入力させ、アカウントの乗っ取りやダークウェブ上での売買などに悪用されるリスクがあります。
長期的な感染被害リスク
サポート詐欺において遠隔操作されるケースが多々あります。遠隔操作された際にマルウェアをインストールされると、気づかないうちに情報を搾取されるだけでなく、社内の他端末にも侵入され、ランサムウェア攻撃など別の被害が発生する可能性があります。技術力のある攻撃者であれば、ログを消去して侵入した痕跡を隠し、長期的に侵入することができるケースもあります。
フィッシング対策
これらのフィッシング攻撃を防ぐためには、以下の対策が重要となります。
①不明な電話番号からの着信を無視する/電話に出る前に公的な番号なのか確かめる
②メール文に記載のURL、添付ファイルを疑う。安全なものか確認する
③従業員へのセキュリティ教育
基本的なことですが、疑いの目を持つことで被害のリスクを低減できます。加えて、セキュリティ教育を行うことで、フィッシングにおける攻撃手法や見分け方、対応方法などを理解し、従業員が攻撃を見抜くことができます。
一方で、フィッシング対策協議会からも報告されていますが、近年フィッシングサイトは巧妙化されており、見破ることが難しくなっています。そこで、以下のセキュリティ製品を導入することも、感染被害を抑える手段の1つとして効果的です。
・多要素認証の導入
多要素認証を導入しておくと、IDやパスワードを知られたとしても、ログインができません。
電話で端末などのログイン情報を提示してしまった場合、多要素認証を導入しておくことで不正侵入を防ぐことができます。
・メール/Webセキュリティ製品の導入
メールセキュリティ製品を活用することで、フィッシング詐欺メールの検知とブロックが可能です。フィッシングURLにアクセスしてしまった場合、Webフィルタリングなどを使ってアクセスをブロックすることで対策することができます。
また、ファイルダウンロード時にマクロなどを実行させないように、無害化処理を行うファイル無害化製品なども効果的な対策の1つと考えられます。例えば、メールセキュリティでは対策しきれない、正規のクラウドストレージサービスから悪意あるファイルを気づかずダウンロードしてしまった場合にも効果的です。
さいごに
ALSIでは、クラウド型WebフィルタリングのInterSafe GatewayConnection(ISGC)を提供しています。ISGCは、フィッシングを含め脅威サイトのURL情報収集に力を入れており、警察庁やフィッシング対策協議会と連携しながら脅威情報を日々収集しています。そのほかにも、ファイル無害化製品やメールセキュリティ製品なども提供しており、お客様のお悩みに沿ったご提案が可能です。
些細なご質問や導入に関しての相談、資料請求など、お気軽にお問い合わせください。
