ユーザーの情報を狙うネット詐欺

ネット詐欺は、インターネットの登場以来、さまざまな手口で行われてきた。2017年第1四半期には、代表的なネット詐欺手法であるフィッシングに加え、サポート詐欺、ワンクリック詐欺などで動きがあった。まずは、全体的な推移を示したものが、図5である。

図5 国内からフィッシングサイトへ誘導された利用者数推移

2017年第1四半期に入り、増加傾向に転じている。フィッシング詐欺は、比較的古いものだが、攻撃者にとっては有効な攻撃として悪用されている。セキュリティラウンドアップでは、顕著なフィッシング事例として、Microsoft Officeのライセンス違反を元にマイクロソフトアカウントの詐取を狙う事例を取り上げている。まずは、OFFICEプロダクトキーの不正コピーを訴えるフィッシングメールが届く。

図6 OFFICEプロダクトキーの不正コピーを訴えるフィッシングメール

このメールに従い、リンク先をクリックすると、マイクロソフトアカウントを狙ったフィッシング詐欺サイトに誘導される。

図7 メールから誘導されるマイクロソフトアカウントを狙うフィッシングサイト

見ての通り、本物のマイクロソフトのサイトのような印象を与える。こうして、アカウント情報が詐取される。従来のフィッシング詐欺では、クレジットカードや口座番号が狙われることが多かった。しかし、最近では、上述のマイクロソフトアカウントやApple ID、Googleアカウントを狙うものが増加している。その理由は、こういったアカウントでは、メールやクラウドストレージ、連絡先など複数のサービスを束ねる個人情報の集約先となっており、攻撃者にとって効率的な情報となっている。

さらに、これらのアカウントはスマートフォンでも使用されることが多い。特にSMSでフィッシングメールを送る「スミッシング」の攻撃にも使われていた。