最新のフィッシング動向と金融機関に求められる対策

金融犯罪対策センター（Financial Crime Control Center：以下、FC3）の佐野です。

2023年4月24日、警察庁から「フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について」と題し、注意喚起が行われました。

※ 警察庁による注意喚起
フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について（注意喚起）

この注意喚起の公表以前から、FC3では最近のフィッシングサイトの発生状況とこれに対する各銀行の取り組みを調査しており、特に2023年2月以降、攻撃者たちの立ち上げるフィッシングサイトの動向に変化が生じていることを確認しています。

本記事では、その調査結果とフィッシングサイトの発生状況から考察される犯罪者たちの動向、サービス提供事業者に求められる対策をお伝えします。

増加するインターネットバンキングの不正送金被害

2023年4月24日の警察庁による注意喚起では、2022年8月から9月頃に大規模なインターネットバンキング（以下、IB）における不正送金被害が発生したことに加え、2023年以降もフィッシングによるものと考えられる被害が多発していることが明らかになっています。

被害規模としては、2023年の4月中旬までのわずか3ヶ月強の期間で10億円強（暫定値）と、2022年通年被害の70％近い金額が詐取されたことが公表されました。このままのペースでは、過去最悪の年間被害額を更新しかねない状況です。

ここ数年のIBの不正送金による被害金額は、多くの被害が発生した2019年をピークとして減少傾向にありました。しかし、上記の注意喚起のように2022年8月から9月に発生した大規模な不正送金を皮切りとして、被害金額はふたたび増加傾向にあります。

これを受け、FC3では近年のフィッシングサイトの発生状況について改めて調査・整理を行いました。

標的を広げるフィッシング

特定の組織・企業のフィッシングサイトが多く立ち上がっている（集中的に標的にされている）場合、フィッシング対策協議会から緊急情報として注意喚起が実施されることが一般的です。以下は、2020年以降にフィッシング対策協議会から実施された注意喚起に基づき、その中に含まれる銀行の種別と割合を示したものです。

過去3年間、銀行を標的としたフィッシングの注意喚起の最多件数は2022年の11件であり、注意喚起全体の約16％程度でした。これに対して、2023年はすでに22件の銀行に関する注意喚起がなされています（2023年5月15日時点）。これは2023年に実施された注意喚起全体の39％にも上り、注意喚起を必要とする銀行を標的としたフィッシングが件数、割合ともに増加していることが分かります。

また、フィッシングの標的にされた銀行の種別にも変化が見られます。2023年に入って標的にされた銀行を過去3年間と比較すると、地方銀行やネット銀行等の割合が増加しているほか、これまで狙われていなかった信託銀行が新たに標的にされている状況が確認できます。

各行の対応

このような状況の中、フィッシングの標的とされた銀行の対応として、主に次の2つが確認できました。

1．注意喚起

• ユーザに対して、フィッシングが発生していることを公式サイトへの掲示やメールでの配信にて告知し、ユーザがフィッシングに気が付く可能性を高める対応。
• 注意喚起の内容としては、フィッシング発生日時、フィッシングメール例、フィッシングサイト例、情報を入力しないことの注意などが記載される。

2．取引制限

• 振り込みや入金などの取引において、特定時間帯での取引を停止する、一度の取引で利用可能な金額の上限を引き下げる等の制限を設けることにより、被害の低減を図る対応。

2023年にフィッシング対策協議会の緊急情報にて注意喚起が掲載された銀行の実施した対応の実施状況を以下に示します。

銀行により多少の対応期間の差はありますが、標的にされたすべての銀行において、自行を標的としたフィッシングサイト立ち上げに合わせて注意喚起が行われています。さらにその中でも一部の銀行では2月以降、注意喚起だけではなく、取引制限も実施していることが確認できました。取引制限を行った銀行はいずれも、注意喚起の後も継続的にフィッシングサイトの発生が確認されています。

警察庁から被害多発の注意喚起がなされたのと同じタイミングで、複数の銀行が取引制限に踏み切ったことを考えると、これらの銀行では実際に被害が発生してしまったのではないかと推察されます。また、取引制限を実施したすべての銀行において、取引制限後もフィッシングサイトの立ち上がった報告がSNS等で確認されています。

銀行によっては、利用者に対してメールにより取引制限の通知を行っており、それに対し、犯罪者が同様のメールを装ったフィッシングメールを散布したケースも確認されており、犯罪手口の巧妙さが見て取れます。

変化する攻撃者の動向

IBにおける不正送金を目的としたフィッシングにおいて、これまで標的にされてきたのは、都市銀行や一部のネット銀行が主でした。しかし直近では都市銀行、ネット銀行のみならず、地方銀行や信託銀行など、これまであまり標的にされなかった銀行も狙われていることが確認されています。

これまでは、ユーザ数が多いと考えられる都市銀行が主な標的として狙われてきましたが、それらに加えて、地方銀行や信託銀行などユーザ数にこだわらず攻撃可能な銀行に対して標的を広げています。このような犯罪者の動向の変化を踏まえると、これまで標的になっていなかった他の地方銀行や信託銀行が、新たに標的にされる可能性も十分に考えられます。

また、銀行による注意喚起や取引制限の実施後にも継続して新たなフィッシングサイトの立ち上げが確認されていることから、犯罪者たちが攻撃をあきらめざるを得ないような根本的な対策を銀行が取らない限り、犯罪者は執拗にその銀行の利用者を狙っていると考えられます。

銀行に求められる対策

利用者に対する注意喚起は、フィッシングに対する基本的な対応とされており、利用者の警戒心を高めることで、被害を防止できる可能性を高めることができます。加えて、取引制限を実施することにより、利用者が情報を詐取されてしまった場合でも、被害を小さく抑える効果が期待できます。

しかし、注意喚起は掲載に気が付かない、メールを開封しないなどの要因によって利用者が閲覧しなかった場合、効力を発揮しません。また、取引金額の上限を引き下げる等の取引制限を実施した場合においても、1回あたりの被害額を減らす事はできますが、制限に抵触しない範囲であれば犯罪者は繰り返し金銭を詐取できるため、根本的に被害をなくすことは難しいでしょう。

フィッシングによる情報の詐取を起点とした不正送金の対策としては、注意喚起や取引制限等ももちろん重要ではあるものの、より効果的に被害を抑止するためには、フィッシングによって詐取されにくい強固な認証方式の採用や、取引モニタリングの高度化など、多層防御の観点での対策が肝要です。

先述の取引制限や注意喚起のように、ひとつの対策では効力を発揮しない、対策を回避される可能性があります。犯罪者はその小さな隙をねらい、様々な新しい手口を開発して攻撃を続けてきます。顧客保護を強化するためにも今一度、多層的な対策の見直しが必要ではないでしょうか。

FC3では、フィッシング対策のサポートに加え、最新の金融犯罪へのリスク評価や多層防御の強化に関するコンサルティングサービスを提供しています。もし自社の金融サービスの不正利用対策に不安がございましたら是非ご相談ください。