PhishWall利用サポート
法人向け製品サポート
パートナー様向けログイン

巧妙化するフィッシング詐欺:正規ユーザーになりすまし、Webサービスを不正利用する手口

2022年4月5日に、フィッシング対策協議会から2022年3月のフィッシング報告状況が発表されました。寄せられたフィッシング報告件数 (海外含む) は、前月より 33,769 件増加し、82,380 件となったと報告されています。フィッシング対策協議会の報告をもとに最近4年間の推移をまとめてみますと、増加の一途をたどっている点と、先月の報告数がダントツに多くなっているのもお分かりいただけるかと思います。

フィッシンググラフ

フィッシング対策協議会の情報をもとにセキュアブレインにてまとめ

メールに含まれるURLや、ブラウザのアドレスバーに表示されるURLを確認するなども、確認手段の一つですが、URLが短縮された場合にはURLの文字列からは確認ができない、環境によってはブラウザのアドレスバーでURLが普段表示されないなどで、容易に確認できるわけでもないというのが実情です。近年、手口は巧妙化し、本物と偽物を見分けるのは困難になってきています。フィッシング対策協議会の緊急情報 に、注意喚起情報として、実際のフィッシング詐欺のメールやWebページの事例が多数取り上げられています。ご覧いただくと、見た目を巧妙に似せていて、本物の企業からのメールやWebページとの区別が難しいものも出てきていることにお気づきになるかと思います。

自社サイトを模倣したフィッシングサイトが無いから大丈夫、というわけではありません。メールアドレスをWebサービスでのユーザーIDとするケースも多いでしょう。メールアドレスは他社のWebサービスで発行されるでしょうし、そのサービスを対象にフィッシングキャンペーンが展開されているケースもあります。

ログインIDにメールアドレスを用いるWebサービスの場合、他のサービスと共通のIDとなり得るということです。ここで、右側を自社のWebサービス、左側を他社のWebサービスとします。正規のユーザーは、他社のサービス利用にあたって、メールアドレスを用います。さらに、ユーザーによっては、複数サービスで、パスワードを使いまわしている可能性があります。ユーザーがパスワードの使いまわしをしていると、ID・パスワードの組み合わせまで共通となってしまいます。この点を念頭に置いて攻撃の手口を見ていきましょう。

攻撃の手口

犯罪者はフィッシングで、
1.ID・パスワードの不正入手をする、
この不正入手した情報を使って、

「自社」のWebサービスに対して
2.正規のユーザーになりすましログインをする
ということが可能となります。

「利用者」に対するフィッシングは、「自社」では監視できません。「自社」のサービスに対する対策をいくら行っても、他所からの流出までは防げない、ということが言えます。金融機関・証券会社・EC等の会員サイトを運営される事業者様の観点では、利用者様がどこかよそのサイトでユーザー名やパスワードが詐取されてしまい、それを用いて不正利用者がなりすましログインを行ってくるのを前提に対策が必要となります。そこでご紹介するのが不正検知サービスSecureBrain Scam Radar BDです。

SecureBrain Scam Radar BD

セキュアブレインでは、SecureBrain Scam Radar(セキュアブレイン・スキャムレーダー) BDを提供しております。ネット犯罪を長年研究しているセキュアブレインがその知見を活かして、顧客の特徴や振舞いを分析し、独自ロジックのビッグデータ分析で不正な取引をリアルタイムに検知します。お客様のWebサイトに沿ったカスタマイズを行い、さらに、新手の攻撃手法にも、Scam Radar BDサーバーのチューニングにより対応します。チューニングに伴うWebサービス事業者様でのご対応は不要です。このため、Webサービス事業者様の手間・負担なく、新手の攻撃に迅速な対応が可能となります。

Scam Radar Mobile SDK

モバイルアプリケーションにもScam Radar Mobile SDKで対応します。本SDK を利用することで、既存のモバイルアプリケーションにセキュリティ専門ベンダーであるセキュアブレインの不正利用検知機能を追加することが可能です。

各製品・サービス等をご検討でしたら、お気軽に当社までお問い合わせください。
https://www.securebrain.co.jp/form/service/inquiry_input.html