フィッシング対策協議会は16日、フィッシング詐欺の動向などをまとめた「フィッシングレポート2010~急増するフィッシング詐欺の実態」を公開した。
●報告件数87%増、ID窃盗に使われるケースも5%から83%に急増
これまで国内のフィッシング被害は海外よりも少ないといわれてきたが、公開されたレポートでは、2009年の後半から同協議会に対するフィッシング情報の報告件数が急増している。今年2月時点で2009年度の報告件数は283件に達し、対前年度比87%増(2008年度151件)を示した。
また、国家公安委員会、総務省、経済産業省の発表データから、警察庁への識別符号窃用型不正アクセス行為(ID窃盗による不正アクセス行為)が急速に増加していることを指摘。その手口としてフィッシングを用いたケースは、2008年にはわずか5%に過ぎなかったものが、2009年には83%に増加している。
●価値なしと見えるアカウントも悪用目的で狙われる
レポートによれば、フィッシングで盗まれるIDにも変化がみられる。最近のID窃盗は、従来のオンラインバンクやクレジットカード情報だけでなく、ゲームアカウントやソーシャルメディア(SNSなど個人の情報発信で成り立つメディア)、FTPのアカウントなどに広がっているという。
クレジットカード情報が盗まれると、オンラインでの不正な買い物に悪用される可能性があることは誰もが承知しているが、オンラインゲームやオークションのアカウントについては、金銭的被害と直接的なつながりが見えないため油断しがちではないだろうか。
オンラインゲームでは、アイテムをRMT(リアル・マネー・トレード)で換金できるためアイテムを盗む目的でアカウントが狙われる。オークションでは、身元を隠して不正出品するなど詐欺を行うため既存アカウントが狙われる。ソーシャルメディアでは、そこに書かれた情報が参加者に信頼される傾向があるため、ほかの詐欺に誘導する目的などで既存アカウントが狙われる。ブログやWebサイトでは、サイトを改ざんして罠を仕込んだり、そこに侵入してより価値の高い情報を盗むためにアカウントが狙われる。
価値がないと思えるアカウントも攻撃者にとって悪用価値は高いわけで、奪われないように十分配慮する必要があるとしている。
レポートは、これら標的とされるアカウントの中で、RMTが横行するオンラインゲームのID窃盗の状況と対策・課題について述べ、またIDを盗む手法として最近増えている「ドライブバイダウンロード」の動向と対策について述べている。
●携帯電話にも潜むフィッシングの罠
レポートは最後に、フィッシング被害を防ぐためにはユーザー自身の自助努力だけではなく、新たな技術的対応が必要となるとして、いくつか課題を示している。携帯電話にURLを確認するための機能を加えることも、その一つだ。アドレスバーを通してフィッシングサイトを見分ける対策を進めるためである。
日本のユーザーは携帯電話を通じて、メールやWebを利用することが多いが、画面のスペースなどの物理的制約からアドレスバーなどパソコンでは必ず表示される情報が省かれてしまうのが現状だ。しかし、すでに2009年12月、同協議会には携帯電話から閲覧されることを前提としたと思われるフィッシングサイトがいくつか報告されていた。今後同様の手口が広まる可能性があり、携帯電話にURL確認機能を加えることは、フィッシング以外の不審サイトの対策としても重要だとしている。
(2010/11/19 ネットセキュリティニュース)
■フィッシングレポート2010[PDF](フィッシング対策協議会)
http://www.antiphishing.jp/report/pdf/phishing_report_2010.pdf