フィッシングは依然として増加傾向にあり、生成AIの活用などを背景に巧妙化が進んでいる。特に、人間を騙すという昔からの手法は今も対策が困難だ。11月8日に開催された「フィッシング対策セミナー 2024」では、フィッシングに関わる多くの講演が行われた。ここでは、JPCERT コーディネーションセンター(JPCERT/CC) フィッシング対策協議会 事務局長の吉岡道明氏による「最近のフィッシング報告動向」をレポートする。
2020年以降の急増傾向続く 7月には過去最多の報告も
吉岡氏はフィッシング対策協議会の説明に続き、最近のフィッシング報告受付状況を紹介した。フィッシング報告のほとんどは一般消費者からのもので、受信したフィッシングメールをそのままメール転送するケースが大半を占めている。スマートフォン上からショートメッセージの内容を報告することはメールの転送より手間がかかるため、報告数は非常に少ないという。
まずフィッシング報告件数の年別集計を示した。報告件数は2020年から急増し、その後は毎年報告件数を更新している。2024年もまた前年の報告件数を上回る勢いであるとした。増加の理由は、犯罪者側の自動化が進んでいること、フィッシングキットやPhaaS(Phishing as a Service)といったクラウドサービスなどの提供者がいることも一因に挙げた。
フィッシングメールの配信力やフィッシングサイトの構築能力は、ここ数年で爆発的に増えており、それは報告数や各団体が発表する被害件数などにも表れている。また、フィッシング詐欺の認知度向上により報告する人が増えていることも要因の一つであるとした。
フィッシング対策協議会「最近のフィッシング報告の動向」より引用
[クリックすると拡大します]
月別の報告件数では、2024年5月以降にフィッシングメールの配信が急増し、連動して報告件数も増え、7月には過去最高の報告件数を記録した。犯罪者は宛先メールサービスごとに発信元メールアドレスを「なりすまし」と「独自ドメイン名」で使い分けており、これによりメールフィルターをすり抜けて利用者へ着信していると考えられるという。
大量に報告のあったURLのユニーク数の集計では、3月以降急増しており、8月に過去最高を記録。6月~8月はランダムサブドメイン名と独自ドメイン名を組み合わせたURLや、リダイレクト機能を持つ正規サービスを踏み台としたURLが増加している。大量に配信されたフィッシングメールで誘導されるフィッシングサイトでは、モバイル端末からのアクセスのみを通過させる設定がなされていることも多かった。
分野ごとの集計では、EC系およびクレジットカード系のフィッシングが最も多く、クレジットカード情報の詐取が狙いと考えられる。また、銀行系フィッシングで不正送金されてしまう被害も依然として多い。金融系や交通系も引き続き多いが、3月以降は電力・ガス・水道を騙るものが増えている。最近は、たとえば金融系ではメガバンクからインターネットバンキング、地方銀行、労働金庫と様々なブランド名を使う傾向があるとした。
フィッシング対策協議会「最近のフィッシング報告の動向」より引用
[クリックすると拡大します]
この記事は参考になりましたか?
- この記事の著者
-
吉澤 亨史(ヨシザワ コウジ)
元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
