ネット上のサービスを装ったフィッシング事例が多発している。フィッシング対策協議会は、11月8日公表の「Amazon」のフィッシング事例を皮切りに、ネットゲームの「ハンゲーム」(14日)・「NEXON」(21日)と、毎週のようにフィッシング事例を公表し、注意喚起している。
いずれの事例でも、サービス名をかたるフィッシングメールが出回り、不正ログインなどの警告を装い、アカウント情報やパスワードの確認を催促する内容が明記されている。メールに記載されたURLをクリックするとフィッシングサイトに誘導され、ID・パスワード・クレジットカードなどの個人情報の入力が求められる。
BBソフトサービスが18日に公表した「詐欺リポート」では、偽ECサイトのチャット機能から個人情報を搾取する新たな手口が明らかになった。チャットでは購入しないでも個人情報を盗むことができ、会話や取引の記録が残らないため被害が出せないなど、その手口は巧妙化している。
インテルセキュリティ(マカフィー)が10日に発表した「2016年10大セキュリティ事件ランキング」は、認知度1位が「振り込め詐欺/迷惑電話による被害」(51.7%)で、2位に「大手金融機関やクレジットカード会社などをかたるフィッシング」(36.9%)が入った。同調査は国内の経営層や情報システム部門の担当者を対象にした意識調査で、16年10月までに発生したセキュリティ事案を対象にしている。
「大手金融機関やクレジットカード会社などをかたるフィッシング」は、同協議会でも事例が公表されており、8月には8件の金融サービスに関連したフィッシング事例が挙げられている。同協議会によせられたフィッシング報告件数は8月をピークに、10月は126件と、約3年1カ月ぶりに200件を下回った。この背景には金融サービスに関連したフィッシングが減少したことも影響している。一旦は減少傾向となったフィッシングだが、11月から再び増加傾向となる兆候が見られる。対象は金融サービスではなく、ゲームやECサービスにシフトしているようだ。
セキュリティソフトなどを販売するソースネクストは、「11月から有名ブランドをかたったフィッシングが多く確認されている」としている。同社によれば、最近のフィッシングメールは日本語も自然で、メールだけで見分けることが困難になってきているという。
対策としては、メール内のリンクをクリックしないことが最も重要だが、その次にリンクした先のURLを確認し、不正サイトかどうかを見分けることが必要だとした。フィッシングサイトのURLは、「『https』になっていない」「会社名やサイト名が正式なものと異なる」といった特徴があるとしている。
こうした背景から、ID・パスワードの変更を促すECサイトも出てきている。これからのクリスマス商戦に向け、消費者やECサイト運営側にも注意が必要だ。
(山本剛資)
