報告件数は約２倍、被害額約１．５億円増加

　１８年１月から１２月までのフィッシング報告件数は１万９９６０件で、１７年に比べ約２倍に増加。１７年に続き、クレジットカード情報を詐取するフィッシングが数多く報告されている。（一社）日本クレジット協会の発表によると、２０１８年１月から９月までの間のクレジットカードの番号盗用による被害額は１３１億円超となり、１７年の同時期に比べて約１．５億円増加している。この背景にはフィッシングによる情報の不正搾取もあるとみられる。

キャリア決済・仮想通貨を狙う攻撃者も

　また、銀行やカード会社をかたるフィッシングに加え、宅配業者、仮想通貨交換所、映像配信事業者などをかたるフィッシングなどが報告されるなど、攻撃者の対象とするサービスが多様化している。また、攻撃者の狙いもクレジットカード情報だけでなく、キャリア決済、仮想通貨関連サービスなどに拡大している。近年の傾向として、複数の手段が組み合わせて情報収集を行う例も増えている。特に多い手口は「利用権者のパスワード設定・管理の甘さに付け込んだもの」「識別符号を知り得る立場にあった元従業員や知人などによるもの」となっている。

　１８年に新たに確認された手口では、佐川急便やヤマト運輸をかたったフィッシング事例を紹介。攻撃者が運送業者を装って、偽の不在通知を送りＵＲＬをタップさせ、偽サイトから不審アプリのダウンロードとインストールを誘導している。この不審アプリを被害者が使用することで、キャリア決済サービスの不正使用や受信した偽のＳＭＳと同様の内容を、自身の端末から見知らぬ電話番号宛に多数送信される事例などが報告されている。

（フィッシング対策協議会資料より抜粋）

ＱＲコードのフィッシングも続々出現

　他にも、ＱＲコードに関するフィッシングも、ここ最近増えている。アナログな手口としては、本物のＱＲコードの上にフィッシング用のＱＲコードのシールを貼り、利用者がフィッシング用のＱＲコードとは気づかずに決済した例がある。また、店頭で利用者が端末にＱＲコードを表示しようと待機している際に、後ろから悪意のある者が利用者のＱＲコードを撮影し、撮影したＱＲコードを自分の支払時に店員に読み取らせるという手口も発生。神戸大学大学院の森井昌克教授によれば、本物のＱＲコードに微少なドットを１個混入させて識別子を変えるといった手口も、理論上可能となっている。

（フィッシング対策協議会資料より抜粋）

　フィッシング対策協議会では、攻撃手法についてはＳＭＳやＭＭＳのようなメッセージングサービスが広く使われるようになった以外は、それほど大きな変化はないと説明。フィッシングでは類似ドメインが使われることから、信頼が必要とされるサイトについては、サイトの実在を証明するＥＶＳＳＬの技術を導入することを推奨している。

■フィッシングレポート２０１９