2018年6月、フィッシング対策協議会「フィッシング対策レポート2018(PDFファイル)」を公開しました。

このレポートは2017年のフィッシング被害についてまとめており、フィッシングの傾向や新しいフィッシングの手法などについて書かれています。
28ページもある読み応えある内容ですので、あとでじっくりお読みいただければと思いますが、ここでは、2017年のフィッシングの特徴的な要素としてあげられているものを少しご紹介します。

2017年のフィッシングの動向・特徴

フィッシングサイトのSSL化が進む

フィッシング件数自体は大幅な変化はないものの、フィッシングサイトの数は1.7倍と大幅に増加しています。この理由の一端になっていると類推されるのは、フィッシングサイトのSSL化が進んだことにあります。
フィッシングサイトの15%以上は、自ドメインのSSL認証局を取得して「鍵マーク」の付いたフィッシングサイトを用意し、ターゲットに安全なサイトだと信じ込ませる様なアプローチをかけているということです。

パスクリ通信2017年8月11日号 鍵マークの本当の意味(後編)でご紹介したように、SSL証明書も3種類のレベルがあり、一番低いDVレベルの場合には、フィッシングサイトの首謀者であっても、そのドメインの権利者であればSSL認証局が簡単に取れてしまうのです。「鍵マーク」が付いたサイトだからと言って、安心はできない状況になっています。
特に「常時SSL化」への大きなムーブメントが起きている現在では、全てのサイトがSSL化をしていくようになり、それに伴いフィッシングサイトも全てがSSL化していくと思われるので、ますます油断できない、ということです。
SSL認証局のレベルを知り、DVレベルのサイトは「その主体が実在するかどうかも証明してくれない」ということを認識し、用心を重ねた方がいい時代になったということです。

SMSを使ったフィッシングが増加

次にSMS(ショートメッセージサービス)を利用したフィッシングが増えているということ。
SMSの悪用が増えたのは、キャリアのメールアドレスがあまり使われなくなってきていることや、LINEやfacebook等のSNSが本人認証の際の追加認証手段としてSMSを使うことが増えてきたことによります。
SMSをそうした認証に使っている人にとっては、「SMSに来たSNSからの連絡は、重要な連絡かもしれない」というイメージで、開封率が高くなり、フィッシングに効果的と認識され、SMSが利用されるケースが増えてきているということです。

さらにSMSの場合は海外網経由の国際SMSからの配信をする場合には、SMS配信依頼者の本人確認や用途の申告もなくオンラインの申し込みだけで使えるので、フィッシングを行うには好都合、ということもあり、今後もさらに増加していくことが見込まれるので注意が必要です。

<緊急情報>
佐川急便を装ったSMSフィッシングメールが急増しているようです。佐川急便サイトではこの偽SMSを使ったフィッシングに対する警鐘をサイトに掲載していますので、ご確認の上、騙されないようによう、くれぐれもご注意ください。

佐川急便を装った迷惑メールにご注意ください(佐川急便サイトの当該ページが新しいウインドウで開きます)

次々と新しい攻撃手法を使いながら巧みに仕掛けて来るフィッシング、その手口を知り、用心することが大事です。
時々、このようなレポートに目を通し、トレンドを知っておきましょう。