2022 年 06 月 01 日
フィッシング詐欺の増加、なりすましメールへの注意を!
実在する正規メールアドレスを装う、なりすましメールに注意
実在する企業・組織名をかたるフィッシングメールが増加しています。2022 年 4 月のフィッシング対策協議会が公表した フィッシング報告状況 によると 92,094 件となり、一年前(2021 年 4 月)の 44,307 件から 2 倍以上の報告件数になっています。フィッシングに悪用されたブランド件数は、101 件となり、一年前の 66 件から報告件数が増えています。
(出典:フィッシング対策協議会:2022/04 フィッシング報告状況)
フィッシングに悪用されたブランドとしては、「クレジット・信販系:26 ブランド」、「都市銀行やネット銀行など金融系ブランド:8 ブランド」、「ISP やホスティング事業者、メールサービス:13 ブランド」でした。
ショートメッセージ(SMS)から誘導されるフィッシングでは、宅配便の不在通知、モバイルキャリア、クレジットカードブランドをかたる内容が報告されている他、不正なアプリ ( マルウェア等 ) のインストールへ誘導する SMS についても確認されています。
フィッシング以外では、マルウェア「Emotet」のインストールを誘導する添付ファイル付きの電子メールの報告が多数あり、マルウェア感染の発生を起こさないためにも添付ファイルを開くことはせず、メールを削除する必要がありますので、ご注意ください。
また、フィッシング対策協議会は、フィッシングメールのうち、約 78.4 % がメール差出人に正規のメールアドレス ( ドメイン ) を使用した「なりすまし」フィッシングメールで、この割合も増えていると報告しています。
なりすましメールへの対応状況と対応策は?
メールのセキュリティ対策としては、メールセキュリティ製品・サービスを導入し対策している企業・組織やユーザーも多いのではないかと思います。
しかし、正規のメールアドレスをかたるフィッシングメールとなると見分けることは困難ではないかと思います。
電子メールに S/MIME 署名を付与することで、メールの発信元を証明することが可能です。発信元が確かな電子メールには、証明書マークが表示され万が一なりすましされていたり、内容に改ざんが加えられていたりすると、警告が表示され、すぐ見破ることができます。詳細についてついては、過去の BLOG で解説していますので、ご参照ください。
スマートフォン表示例
JIPDEC と フィッシング対策協議会が調査した「S/MIME のメーラー別対応状況の調査結果 」では、5 つの主要なメールソフトの S/MIME 対応状況の調査結果を公表しています。過去は S/MIME 署名に対応するメールソフトの種類が少なく、S/MIME 署名を利用されるケースも少ない状況でしたが、Windows、iOS、Android などのパソコンやスマートフォンで、利用可能な環境が増えています。
(出典)JIPDEC/ フィッシング対策協議会「S/MIME のメーラー別対応状況の調査結果」
2007 年 1 月、金融庁は総合的な監督指針の一部改正において、インターネットバンキングに関する適切な本人確認方式の選択や、フィッシング詐欺に対する適切な防止策を講じることが組み入れられました。それにより、金融機関ではウェブサイトにおける EV サーバー証明書や送信する電子メールに S/MIME を採用する取り組みが行われ、現在では多くの金融機関でさまざまなフィッシング詐欺対策を講じています。
なりすましメール対策の現状と課題-S/MIME を活用したなりすまし対策事例
S/MIME 最前線「なりすましメール対策の現状と課題-S/MIME を活用したなりすまし対策事例紹介」(主催:一般財団法人日本情報経済社会推進協会(JIPDEC)/ 共催:フィッシング対策協議会)と題したオンラインセミナーが 2022 年 2 月に開催され、同セミナーのパネルディスカッションでは、メールのなりすまし対策として有効な S/MIME と導入事例を含めた S/MIME の現状について解説し、SPF、DKIM、DMARC 等、他のなりすまし対策や、PPAP 廃止によるメール環境の変化について触れています。同セミナーの講演レポートが公開されていますので、なりすましメール対策の参考になるのではないかと思います。
三越伊勢丹グループの中核会社としてクレジットカード事業・金融事業を担うエムアイカードは、差出人本人が出したメールなのか、メールの内容が途中で改ざんされていないか、また万が一盗聴されても内容がわからないようになっているかという観点で、異常を発見できるサービスを検討し、S/MIME 証明書「SureMail」を採用しています。顧客向けに発信する電子メールに、S/MIME 署名をすることで「電子メールの送信者が確かにエムアイカードであること」と「電子メールの内容が途中で改ざんされていないこと」を確認できるようになっています。