急増するフィッシング・なりすまし被害の現状と対策

金融犯罪対策センター長の小森です。

ラックは金融犯罪対策に対する社会ニーズの高まりを受けて、2021年5月に金融犯罪対策センターを設立しました。金融犯罪対策センターは、ラックの豊富なサイバーセキュリティの知見と、これまで多くの金融機関のお客様とともに業務を遂行してきた経験における金融犯罪対策の知見を融合し、巧妙化が進む犯罪手口に対する最適な対策を提供します。最先端のAIの知見も活用した「不正検知」を中心に多岐にわたる対策も研究開発していきます。

この記事では、金融機関のお客様のみならず、金融サービスを提供するお客様、不正ログイン対策の導入を検討しているお客様向けに、「フィッシング・なりすましによる金融サービスの不正利用シーン」と対策をご紹介します。図版を交えた不正利用シーンの代表例のご説明や、金融機関の取りうる対策とラックが提供するソリューションについて具体的にお話しします。

ラックでは金融事業部が、主に金融機関のお客様に対してセキュリティ高度化の支援をしていますが^※1、足元では、金融機関の新たなニーズの高まりを実感しています。具体的には、フィッシング・なりすましによる認証情報窃取・資金詐取の被害急増が社会問題化するなか、「金融サービスの不正利用（不正なログイン・送金・出金・チャージ等）の被害防止対策を導入・強化したい」という相談が寄せられるようになりました。

※1 お客様の課題解決に向けたシステム設計や構築・運用等のシステムインテグレーション、コンサルティングやセキュリティ監視・運用等のセキュリティサービスなどを中心に提供しています。

急増するフィッシング被害と不正送金

金融機関による金融犯罪対策ニーズの高まりの背景には、社会の構造変化があります。ここ数年で、インターネットバンキングやオンライン決済サービスの普及が急速に進み、様々な金融サービスが社会インフラとして日常的に使われるようになりました。

こうした金融サービスは私たちの生活を便利にしてくれる一方で、フィッシング・なりすましを通じて犯罪者に認証情報を窃取されたり、資金を詐取されたりする被害が増加しています。実際、フィッシング対策協議会に寄せられるフィッシング報告件数をみると、2019年は前年比で約3倍、2020年は同4倍に急増しています。

フィッシング被害の増加に伴って、インターネットバンキングの不正送金被害も急増しています。警察庁が発表している「サイバー空間をめぐる脅威の情勢等」によると、被害額は2019年に約25億2,100万円と前年度に比べて、5倍以上に達しました。

被害手口の大半は、電子メールやSMSと呼ばれるショートメッセージを用いて、金融機関を装った犯罪者がフィッシングメールを散布し、真正ユーザの認証情報を詐取して不正送金を行っているものと考えられます。フィッシングメールの中には、携帯電話キャリア事業者や宅配業者を装ったものも散見されるなど、巧妙化が進んでいます。このようなフィッシングによる不正送金被害は2020年も引き続き確認されています^※2。

※2 不正送金被害額は2014〜15年にかけて急増し30億円に達したものの、各金融機関によるモニタリングの強化やワンタイムパスワードの導入等の対策により、被害が大幅に減少しました。当時の不正送金被害の手口はマルウェアによるものが中心でしたが、2019年に手口がフィッシングに移行・巧妙化したため、従来の対策では被害防止効果が十分でない状況で、被害が再び拡大しました。

「フィッシング・なりすましによる金融サービスの不正利用シーン」とは？

犯罪者が真正ユーザになりすまして不正に操作を行い、資金を詐取すること（不正ログイン、不正送金、不正出金・チャージ、クレジットカード不正利用等）を「なりすまし」と言います。「なりすまし」には、真正ユーザの認証情報が不可欠ですが、この記事では、犯罪者が認証情報を窃取する主な手口である「フィッシング」の手法、ならびに「フィッシング・なりすましによる金融サービスの不正利用シーン」についてご説明します。

まず、犯罪者が、認証情報を窃取したいサイトを模した「偽サイト」を設置することからはじまります。偽サイト設置後、犯罪者はその偽サイトのURLを記載したフィッシングメールやSMSを真正ユーザに送信します。

真正ユーザがそのURLにアクセスし、偽サイトであることに気付かずに正規のサイトにログインする際のIDとパスワードを入力してしまうと、IDとパスワードが犯罪者に窃取されてしまいます。そうなると犯罪者は、窃取したIDとパスワードで真正ユーザになりすまし、正規サイトに不正ログインして、資金詐取（不正送金、〇〇Payの不正チャージ、クレジットカード不正利用など多岐に亘る犯罪行為）を自由に行えることになります。

フィッシング・なりすましによる金融サービスの不正利用を防ぐには

この犯行手口における対策としては、「偽サイトが設置されたことを迅速に検知し、閉鎖^※3を行う」ことが効果的です。この対策としてラックでは、「RiskIQ」および「CSIRT共同化サービス」をご提案しております。

※3 偽サイトが属しているIPアドレスを管理しているプロバイダー、サーバ運営業者に閉鎖（テイクダウン）を依頼すること。

※4 RiskIQ External Threats：インターネットを巡回して、犯罪者の用意した偽サイト（フィッシングサイト）や偽アプリ、偽のSNSアカウントなどの発生を継続的に監視し、これらを発見・通知することで、お客様の迅速な判断・対処を支援するソリューション。

また、犯罪者による正規サイトへの「不正ログインを防止」するためには、正規サイトへログインする際の「認証を強化」することが有効な対策になります。この点では、「Transmit Security」といったソリューションをご用意しています。「フィッシング・なりすまし」のその他の犯行手口についても、シナリオ毎に実施すべき対策とソリューションの紹介資料もご提供可能です。

ラックでは、お客様の状況や課題に応じて、最適なソリューションならびに構築・運用をご提案することができますので、フィッシング対策やなりすまし被害にお悩みのお客様は、ぜひお問い合わせください！