セキュリティの
学び場

今回の解説ニュース

フィッシング詐欺の現状についての調査結果が発表されています。個人がフィッシング詐欺の被害にあわないための対策と、メールのセキュリティ対策であるDMARCの正式運用が進まない背景について説明します。

今回のレポートは、フィッシングの国内外の状況やこの1年の動向、フィッシングの被害事例、SMSを用いたフィッシング詐欺についての意識調査、Googleと米Yahoo!の迷惑メール対策の強化などについてまとめているものです。

結果として、2023年のフィッシング情報の届け出件数は過去最高の100万件を超えた1,196,390件となり、2022年と比較し約1.23倍と増加しています。また、2023年は観測しているメールアドレスで受信したフィッシングメールのうち、平均約74.9％、最大で91.9％が「なりすまし」送信メールでした。

同レポートでは、正規に送信されたメールであることを認証できるDMARCが有効であるとし、ドメインホルダーである事業者やメールサービス提供事業者には、DMARCの正式運用と、その技術を利用して正規メールにブランドアイコンが表示されるなどのフィッシング対策機能であるBIMIの実装を推奨しています。

個人がフィッシング詐欺の被害にあわないための対策

個人がフィッシング詐欺の被害にあわないための対策として、その手口を理解した上で、基本的な対策を徹底することが求められます。

フィッシング詐欺の手口は巧妙化しており、常に新しい手法が登場しています。代表的な手口として、なりすましメールや偽サイト、携帯電話のショートメッセージや、SNSのダイレクトメッセージを使ったフィッシング詐欺が挙げられます。

まず、攻撃者は金融機関やブランドなどを装った、なりすましメールを送信します。メールアドレスや本文、ロゴなどは本物と見分けがつかないように偽装されています。そして、本物のサイトと酷似した偽サイトを作成し、ログイン情報やクレジットカード情報を入力させるように誘導します。URLやデザインが本物とよく似ているため、気付かずにアクセスしてしまう可能性があります。なりすましメール以外にも、携帯電話のショートメッセージや、SNSのダイレクトメッセージを使ってメッセージを送り、偽サイトへ誘導する手口も確認されています。

フィッシング詐欺の被害を防ぐためには、メッセージの送信者を確認したり、リンク先のURLをよく確認してからアクセスしたり、基本的な対策を徹底することが重要です。まず、送信者のメールアドレスが不自然だったり、知らない携帯電話の番号やユーザからのメッセージには、注意が必要です。また、メール本文のURLにカーソルを合わせたり、携帯電話に表示されたリンクを長押ししたりすると、偽サイトのURLが表示される場合があります。リンク先のURLが正しいか、よく確認してからアクセスするようにしましょう。

メールのセキュリティ対策であるDMARCの正式運用が進まない背景

DMARCの正式運用が進まない背景として、誤判定のリスクが懸念されていることが挙げられます。

今回のレポートでは、DMARCの正式運用として、認証に失敗したメールは隔離、または受信拒否のポリシーにすることが挙げられています。DMARCは、メール認証技術の中でも高い評価を得ており、国内でも徐々に導入が進んでいますが、正式運用までできている組織は少ないようです。セキュリティベンダーの調査では、日経225企業内でのDMARC導入率は60%に至ったものの、正式運用のポリシーを設定できている企業は全体の13%にとどまっているということです。

DMARCでは、認証結果に基づいてメールの扱い方を決めますが、設定ミスや技術的な問題により、正当なメールが誤って弾かれてしまう可能性があります。DMARCを導入した組織が誤判定のリスクを懸念した結果、ポリシーを監視のみの状態にしたままで、正式運用の開始を見送っていることが考えられます。