ネット詐欺も高いレベルで推移

フィッシング詐欺などに代表されるネット詐欺も、依然として高いレベルで推移している。多少の増減はあるものの、図4のように、2017年第4四半期には約75万件と、これまででもっとも多い数となった。

  • 図4 日本国内からフィッシングサイトに誘導されたユーザー数の推移

攻撃者の狙いは当然であるが、アカウントとパスワードである。特に、Googleアカウント、Apple ID、Amazonアカウント、マイクロソフトアカウントで、マルチサービスのアカウントが狙われやすい。実例を紹介しよう。図5は、マイクロソフトアカウントを狙ったものだ。

  • 図5 マイクロソフトアカウントを狙うフィッシングサイト事例

Office のプロダクトキーの確認を理由に情報の入力へ誘導している。図6は、Apple IDを狙うものだ。

  • 図6 Apple ID を狙うフィッシングサイト事例

アカウントのロック解除を理由に情報の入力へ誘導している。2017年に流行したネット詐欺にサポート詐欺がある(図7)。

  • 図7 サポート詐欺サイトの事例

Zeusウイルスの検出を理由に、サポートへの問い合わせ電話を促し、最終的にサポート契約を口実に金銭を詐取する。モバイルでは、フェイクアラート詐欺が検出された。

  • 図8 モバイル向けのフェイクアラート詐欺事例

ウイルス検出を理由に特定のアプリのダウンロードを促すものだ。また、詐欺サイトへの誘導手段として、SNSのダイレクトメッセージを悪用する手口も確認されている。

  • 図9 Facebookメッセージで着信した不審なメッセージの事例

Facebookの事例では、動画への誘導からChromeの拡張機能をインストールさせられ、ユーザーが知らないうちにスパムメッセージ送信の踏み台にされている。

  • 図10 Facebookメッセージから最終的に誘導されるChromeの拡張機能のインストールを促す不審サイトの事例

トレンドマイクロでは、ネット詐欺の手口として「直接、人を騙す」攻撃に変化していると指摘する。その理由は、Web経由の攻撃における脆弱性攻撃の弱体化がある。従来、脆弱性攻撃の対象ブラウザとしてInternet Explorerがメインであった。しかし、FirefoxやChromeなどの普及とWindows 10では標準ブラウザがEdgeになるなど、Internet Explorerの使用率低下によって、脆弱性を悪用した攻撃が非効率になってしまった。そこで、攻撃者は脆弱性を必要としない「人を騙す」攻撃手法を使っているのである。

このようなネット詐欺の対策は、手口を知り騙されない、という心がけが重要とトレンドマイクロでは指摘する。

本稿で取り上げた項目以外にも、興味深いテーマが並ぶ(ビジネスメール詐欺や公開サーバからの情報漏えいなど)。ぜひ一読してほしい。