トレンドマイクロでは、2018年1月~11月に発生したサイバー脅威の動向から、①フィッシング詐欺、②SMSを発端とする不正アプリ拡散、③「セクストーション」スパム を2018年に発生した個人利用者に対する「三大脅威」であると分析しています。そしてこのような脅威動向の全体を通じて、金銭に繋がる情報を狙う攻撃、特にクレジットカード情報や認証情報を中心としたいわゆる個人情報を狙う攻撃が拡大する裏で、過去に漏えいした情報はまた別の攻撃に利用され新たな被害を招く、言わば「被害の再生産」の構図が明らかになってきたと言えます。
本ブログでは、この2018年の脅威動向に関する速報を連載形式でお伝えします。第2回の今回は個人利用者に対する脅威の中から「フィッシング詐欺」に焦点を当てて分析します。
図:2018年国内の個人における三大脅威
■過去最大に拡大したフィッシング詐欺
2018年を振り返った際、個人利用者にとって最も注意すべき脅威は、利用者の持つ情報の詐取を狙う「フィッシング詐欺」であったと言えます。世界的な観点においても日本国内においても、2018年におけるフィッシング詐欺の攻撃は過去最大規模に拡大しました。トレンドマイクロの次世代セキュリティ技術基盤である「Smart Protection Network(SPN)」の統計によれば、2018年に日本においてフィッシングサイトへ誘導された利用者数は、10月までの10か月間の統計であるにも関わらず、過去最大の392万件に達しています。トレンドマイクロがフィッシング詐欺に関する統計を取得しはじめて最も規模が大きかった2015年と比較しても、10月時点ですでにほぼ倍増していることからも、2018年を通じてサイバー犯罪者がフィッシング詐欺による活動にいかに注力していたかをうかがい知ることができます。
図:日本からフィッシングサイトにアクセスした利用者数の推移
■フィッシング詐欺の狙う情報
このように拡大するフィッシング詐欺では、クレジットカード情報、もしくはWebの認証情報のいずれかの詐取を狙うものがほとんどすべてとなっています。トレンドマイクロでは、2018年1月から10月までの間に国内で確認した日本語フィッシングメールキャンペーン81件において、その誘導先となっていたフィッシングサイトを調査しました。その結果、一つのフィッシングサイトでクレジットカード情報とWebの認証情報の双方を狙うものが全体の61.7%を占めていました。この双方の情報を狙うサイトも含め、クレジットカード情報は全体の79.0%、Webの認証情報は全体の81.5%のフィッシングサイトで狙われていました。また、様々なWebの認証情報の中では、Apple IDやマイクロソフトアカウントなど複数のサービスで利用可能なクラウドサービスアカウントが全体の51.9%を占め、最も多く狙われている認証情報となっていました。
図:2018年1月~10月に国内で確認されたフィッシングメールキャンペーンの
誘導先フィッシングサイト81件における詐取対象情報種別(重複を含む)
■フィッシング詐欺の影響
クレジットカード情報は金銭に直結する情報として、フィッシング詐欺では以前から狙われている情報です。そのクレジットカード情報とほぼ同レベルで、Webの認証情報が詐取対象となっていた事実からは、サイバー犯罪者の中で認証情報の価値が高くなっていることがうかがえます。前回記事でお伝えしたような、過去に漏えいした情報を使用する攻撃の状況を考え合わせると、このように様々な認証情報が狙われている状況では、「認証情報の使いまわし」が特に大きなセキュリティリスクとなることがわかります。本記事では、個人利用者に対する脅威としてフィッシング詐欺を取り上げていますが、実際には法人利用者に対しても大きな脅威となっていることが明らかになってきています。フィッシング詐欺自体はインターネットの初期から存在する古典的とも言える攻撃手法ですが、金銭に繋がる情報を狙う攻撃、特にクレジットカード情報や認証情報を中心としたいわゆる個人情報を狙う攻撃の拡大の中でも、最も中心的な存在であると言えます。
■「フィッシング詐欺」への対策:
「フィッシング詐欺」は誤解や思い込みを利用して、利用者自らが情報を出すことを促す詐欺手法です。このような人を騙す詐欺に対しては、その手口を知ることが対策の一歩となります。また、認証情報の入力を求めるようなメール、Web サイトなどについてはよく正当性を確認してください。一般的なフィッシング詐欺にだまされないための注意点については以下のブログ記事にまとめておりますのでご参照ください。
また、多くのクラウドサービスでは、二要素認証や二段階認証のような強化された認証方法を提供しています。特に、自身の重要な個人情報や資産を扱うWebサービスを利用する際には、より高いセキュリティレベルの実現のために強化された認証方法の使用を強く推奨します。また、複数のサービスで同じパスワードや類推可能なパスワードを使いまわすことは止めましょう。
2018年の脅威動向レポート「セキュリティラウンドアップ」リンク:
- サイバー犯罪の狙いは「ランサムウェア」から「不正マイニング」へ、2018 年第 1 四半期の脅威動向を分析
- 「クラウド時代の認証情報」を狙いフィッシング詐欺が急増、2018 年上半期の脅威動向を分析
- 日本語化される法人向け詐欺と個人への脅迫、2018年第3四半期の脅威動向を分析
【更新情報】
2019/1/17 17:30 | 本文中の誤字を修正しました。 |