JSSEC セキュリティコラム
25年4月号「多様化する『フィッシング』詐欺の手口」
~ メールだけではないさまざまなフィッシング詐欺について ~
JSSEC副会長・理事
KDDI株式会社 本間 輝彰
私たちが日常的に使用するスマートフォン、その便利さの裏には思わぬ落とし穴が潜んでいます。それが、スマートフォン利用者をターゲットにしたサイバー犯罪です。本コラムでは、利用者自身を含め身近なスマートフォンユーザーに起こりうるサイバー攻撃の実態を掘り下げ、その手口と対策について解説していきます。
今回のテーマは、日々進化し続ける「フィッシング」詐欺の多様な側面にスポットを当てます。かつては主にメールを介したものが主流だったフィッシング詐欺も、今では「スミッシング(SMSフィッシング)「電話を使った「ビッシング(ボイスフィッシング)」、さらにはソーシャルメディアを利用した手法「ソーシャルメディアフィッシング」まで、さまざまな形態で我々の生活に忍び寄っています。
本コラムでは、これらのフィッシング詐欺の主な種類とそれぞれの攻撃方法を紹介します。「フィッシング」に対する最も効果的な防御策は、その多様な攻撃手段を正しく理解することです。多くのスマートフォン利用者が被害に遭わないためにも、本コラムを通じてぜひ知識を深め、日常生活でのリスク管理に役立てていただければ幸いです。
フィッシング(Phishing)
「フィッシング」は、メールを使って、偽のWebサイトなどに誘導し、個人情報やパスワードを搾取する攻撃です。利用者を狡猾的に騙すことが特徴であり、金融機関やECサイト、公共機関など有名企業や機関を詐称することが多いです。
なお、「Phishing」の語源はいくつか存在しますが、詐欺師がインターネット上で「餌」を使って「魚(利用者)」を釣る行為に似ていることから来ていると言われています。
また、メールによる「フィッシング」にも、様々な亜種がありその代表例をいくつか紹介します。
スピアフィッシング(Spear Phishing)
「スピアフィッシング」は、国内では「標的型攻撃」とも呼ばれ、通常のフィッシングとは異なり、特定のターゲットに対して集中かつ精密に行われるのが特徴です。この手法の名前は、「槍で狙い定めて攻撃する」という意味を持ちます。
「スピアフィッシング」では、特定の企業、組織、団体を狙って攻撃することが一般的です。ターゲットに特化した攻撃を行い、非常に信頼性の高いメールを使って攻撃してくる点が特徴です。また、「スピアフィッシング」においては、ターゲットとなった組織の一人が攻撃に引っかかると、そこからランサムウェアなどのマルウェアに感染したり、組織へのアクセス手段が奪われたりすることで、被害が膨大になる可能性があります。
ホエールフィッシング(Whaling)
「ホエールフィッシング」は、主に会社の経営者や重役といった「大物」をターゲットにしていることから、「Whale(クジラ)」とフィッシングを組み合わせて名付けられたと言われています。
会社の経営者や重役は、重要な情報や資産にアクセスできる立場にあるため、彼らを狙うことで、攻撃者は通常のフィッシングよりも大きな影響を及ぼすことが可能となります。
また、会社の経営者や重役は、ITリテラシーが低い場合があり、日々多忙であるため、細かいセキュリティ警告やメールの不審点に気付きにくいことがあります。さらに、社員からの信頼度が高いため、彼らを騙ることで社員を欺くことが容易になり、攻撃に気付かれにくいということもあります。そのため、ターゲットとされた場合、騙されやすい傾向があります。
BEC:Business Email Compromise(ビジネスメール詐欺)
企業のメールアカウントを乗っ取るなどして、社員や取引先になりすまして重要な情報を取得したり、不正送金を行わせたりする詐欺です。
BECの特徴は、単なるフィッシングに留まらず、アカウントハッキングを行い、正規のアカウントを使用して攻撃を仕掛けるため、詐欺であることを見極めるのが非常に困難である点にあります。また、BECは自社だけでなく、相手方の組織のセキュリティ対策が十分であるかどうかも重要な要素となるため、対策が難しいとされています。
クローンフィッシング(Clone Phishing)
「クローンフィッシング」は、過去に送信された正当なメールをコピーし、リンクや添付ファイルを悪意のあるものに差し替えて再送信するフィッシング手法です。
「クローンフィッシング」では、利用明細などの定型文で送信されるメールを悪用することが多く、利用者はそれを通常のメールと認識してしまい、騙される可能性が高くなります。
スミッシング(Smishing)
これまでは、メールを使った攻撃を紹介してきましたが、「スミッシング」はメールに代わって、SMSを使った「フィッシング」となります。
なお、SMSを使った「Phishing」であることからから、「Smishing」と呼ばれています。
Smishingは、フィッシングと同様の攻撃手法ですが、電話番号を使ってメッセージを送信できるため、攻撃が容易であるという特徴があります。また、Smishingのメッセージは文字数が少ないため、文章から詐欺であるかどうかを見分けにくいという特性があります。さらに、詐欺サイトに誘導する際に短縮URLがよく利用されるため、URLだけで詐欺サイトかどうかを判断するのも難しくなっています。さらに、「SMSスプーフィング」により、発信者番号を詐称して送信してくることもあります。
ビッシング(Vishing)
「ビッシング」は、Voice Phishingの略で、電話を利用した詐欺となります。音声を使った特殊詐欺の多くがこれに該当し、「ボイスフィッシング」と呼ばれることもあります。
この手法では、攻撃者が信頼できるサービスや公共機関を装って電話をかけ、個人情報を巧みに搾取しようとします。彼らはしばしば緊急性を強調し、被害者に不安を抱かせることで、冷静な判断を失わせようとします。このような状況では、落ち着いた判断ができずに騙されてしまうことが多々あります。
リバースビッシング(Reverse Vishing)
「ビッシング」が攻撃者から被害者に電話をかけて詐欺を行うのに対し、「リバースビッシング」は被害者から攻撃者に電話をかけさせて詐欺を行う手法です。
攻撃者は、「フィッシング」や「スミッシング」などを使って不安を煽る内容を送り、その折り返し先として偽の電話番号を提供します。被害者は、その番号に電話をかけることで攻撃者と接触し、詐欺が成立します。電話をかけた時点で既に騙されていることに気づかないことが多く、その結果、攻撃者の話に乗せられて個人情報を漏洩してしまうことがあります。
クイッシング(Quishing)、キュアリッシング(QRishing)
「クイッシング」は、QRコードを利用したフィッシングで、何らかの手段で詐欺サイトに誘導するQRコードを使用する方法で、「キュアリッシング」と呼ぶことも多々あります。
QRコードはスマートフォンのカメラで容易にスキャンでき、利用するQRコードが不正であることを見抜く手段がほとんどないため、利用者はQRコードを通じてアクセスした際に騙されていると気づかないことが多いです。その結果、騙される可能性が高くなります。
なお、「クイッシング」については、JSSEC 技術部会 マルウェアWGが発行している『スマートフォン・サイバー攻撃対策ガイド』 第13回 スマートフォン・サイバー攻撃対策ガイド「広がるQRコード詐欺(クイッシング)と対策」※で解説していますので、一読いただくと、さらに理解が深まると思います。
※ https://www.jssec.org/column/20250219.html
ソーシャルメディアフィッシング(Social Media Phishing)
「ソーシャルメディアフィッシング」は、X、Instagram、FacebookなどのSNSを利用して、利用者を騙し、個人情報を搾取したり、不正サイトに誘導したりするフィッシング攻撃です。
この手法では、有名企業や有名人を装ったアカウントを作成し、信頼を得た利用者に接触します。そして、ダイレクトメッセージやコメントを通じて不正サイトのリンクを貼り、誘導することが一般的です。また、偽のキャンペーンを装い、応募させる攻撃方法もあります。
「ソーシャルメディアフィッシング」は、騙された人がさらにリツイートやシェアをすることで、不正な情報が拡散し、被害が増加する可能性が高くなるという特徴もあります。しかし、一方で、リツイートやシェアによって情報が広がることで、不正な内容に気づいた人から指摘が入る可能性もあり、これにより早期に詐欺が発覚することもあります。
アングラーフィッシング(Angler Phishing)
「アングラーフィッシング」は、「ソーシャルメディアフィッシング」の攻撃手法の一つで、ソーシャルメディア上で公式カスタマーサポートを装ったアカウントを作成し、利用者の問い合わせに対して偽のサポートを提供する手法が特徴です。
利用者は、そのアカウントを公式なサポートと認識してしまうため、疑問を持たずに情報を提供してしまい、その結果、クレジットカード情報や個人情報を搾取される可能性があります。
ポップアップフィッシング(Popup Phishing)
「ポップアップフィッシング」は、偽の警告メッセージやログイン画面をポップアップとして表示し、利用者に情報を入力させる手法で、国内では「偽警告詐欺」や「サポート詐欺」と呼ばれることが一般的です。
この手法では、ウイルス感染やアカウントの異常、スマートフォンの異常などの緊急性を訴え、利用者の不安を煽って騙すことが多いです。特にウイルス感染やスマートフォンの異常を警告する場合、それを解決するためのアプリのインストールに誘導し、マルウェアをインストールさせる手法が多く見られます。
また、「ポップアップフィッシング」では、表示した警告に連絡先を記載し、電話をかけさせることで、「リバースビッシング」と組み合わせた攻撃も存在します。
なお、「ポップアップフィッシング」は、特に信頼性の低いウェブサイトや広告ネットワークを通じて広がることが多いため、ブラウザの設定でポップアップをブロックするなどの対策が有効とされています。
HTTPS フィッシング(HTTPS Phishing)
「HTTPSフィッシング」は、HTTPSで通信しているから安全であると誤認識している利用者を騙す詐欺手法です。
一部の公式なウェブサイトでは、「本サイトはHTTPSで通信しているため安全です」と表示されることがあります。しかし、HTTPSは通信経路を暗号化して盗聴のリスクを減らすものであり、そのサイト自体が安全であることを保証するものではありません。しかし、利用者はそのような認識を持たず、サイトが安全であると誤解することがあります。
攻撃者はこの誤認識を利用して、偽のウェブサイトを作成し、「本サイトはHTTPSで通信しているため安全です」と表示することで利用者を安心させ、クレジットカード情報や個人情報を入力させて搾取します。
ファーミング (Pharming)
「ファーミング」は、ユーザーが通常の方法で正当なウェブサイトにアクセスしようとする際に、攻撃者がDNS設定を操作してユーザーを偽のサイトにリダイレクトさせ、不正なサイトに誘導する攻撃です。「ファーミング」は、偽サイトに誘導し個人情報を「刈り取る」、「収穫する」という意味から名付けられたという説も存在しています。
「ファーミング」では、DNSの応答を改ざんするために、「DNSキャッシュポイズニング」やローカルホストファイルの改ざん、デバイスが参照するDNSサーバの設定変更などが利用されます。
利用者がDNS応答の改ざんに気づく可能性は非常に低く、アクセスしたサイトを正規のサイトと認識してしまうため、騙される可能性が高くなります。DNS応答の改ざんは攻撃の難易度が高く、攻撃される可能性はあまり高くありませんが、この攻撃が成功した際には、被害を防ぐのは困難です。特に、DNSキャッシュポイズニングの場合、多くの利用者に対して大規模にDNSの応答が改ざんされ、被害が拡大する可能性があります。
悪魔の双子フィッシング (Evil Twin Phishing)
「悪魔の双子フィッシング」は、Wi-Fiネットワークを悪用した手法です。攻撃者が公共のWi-Fiホットスポットを装った偽のネットワークを設置し、利用者を接続させて情報を盗む攻撃となり、一般的には不正なWi-Fiサービスとして説明することが多いです。
カフェや空港などで公共Wi-Fiを提供している場所で、攻撃者は同じ名前のWi-Fiネットワークを用意し、利用者は公共Wi-Fiに接続していると気づかず、偽のWi-Fiに接続していまい、攻撃者は通信内容を盗聴することで、個人情報などを搾取することとなります。さらに、DNS書き換えを行い、利用者は正規サイトにアクセスしているにもかかわらず、正規サイトを騙った偽サイトに誘導され、個人情報等を搾取されることもあります。
ウォータリングホール攻撃(Watering Hole Attack)
「ウォータリングホール攻撃」は、特定のターゲットグループが頻繁にアクセスするウェブサイトを狙ったサイバー攻撃です。
攻撃者は、頻繁にアクセスするウェブサイトにマルウェアを仕込み、ターゲットがサイトを訪問した際に感染させようとします。この手法は、ターゲットが集まる「水飲み場」に潜む捕食者の戦略になぞらえており、日本では「水飲み場攻撃」と呼ばれることが多いです。。
攻撃者は、ターゲットが信頼しているサイトを利用するため、被害者が気づかないうちに感染が広がる危険性があります。本攻撃を利用者が防ぐのは非常に難しく、ウェブサイト提供者が、ウェブサイトのセキュリティを強化することが重要となります。
フォームジャッキング(Formjacking)
「フォームジャッキング」は、オンラインフォームに入力された個人情報を盗み取るサイバー攻撃手法です。
攻撃者は、ウェブサイトにあるフォームのコードを改ざんし、ユーザーが入力した情報(クレジットカード番号や住所など)を自分たちのサーバに送信させます。この攻撃は、特にオンラインショッピングサイトで多発しており、ユーザーが気づかないうちに情報が流出する危険があります。「ウォータリングホール攻撃」同様に、本攻撃を利用者が防ぐのは非常に難しく、ウェブサイト提供者が、ウェブサイトのセキュリティを強化することが重要となります。
エクスプロイトフィッシング(Exploit Phishing)
「エクスプロイトフィッシング」は、特定のソフトウェアやシステムの脆弱性を悪用して、フィッシング攻撃を仕掛ける手法です。
攻撃者は、ターゲットが使用しているアプリケーションやプラットフォームのセキュリティホールを突き、悪意のあるリンクやファイルを経由してマルウェアを送り込みます。この手法は、一般的なフィッシングよりも高度で、「スピアフィッシング」の一環として行われることが多いです。また、「エクスプロイトフィッシング」を仕掛けるために、意図的に脆弱性のあるアプリを提供して悪用する方法も考えられます。
まとめ
本コラムでは、さまざまな「フィッシング」攻撃について紹介しました。「フィッシング」の定義や範囲は人によって異なることがあり、ここに挙げた事例を「フィッシング」に含めない方や、他の攻撃も「フィッシング」と考える方もいます。また、今後も新しい手法の「フィッシング」が増えることが予想されます。
しかし、最も重要なのは、それが「フィッシング」と呼ばれるかどうかではなく、攻撃手法を知ることです。したがって、本コラムで紹介した攻撃方法を理解し、少しでもサイバー犯罪の被害を食い止める手助けとなることを期待しています。