コラム
「フィッシング詐欺」過去最悪の被害額541億円:最新動向と対策を解説
フィッシング詐欺被害の規模は年々拡大し、2023年の被害額は過去最悪の541億円に達しました。国民生活センターにも数多くの相談が寄せられています。こうした状況を受け、官民一体となった啓発キャンペーンが展開され、消費者向けのチェックリストが公開されています。しかし、これらの対策だけでは十分ではないのが実態です。本記事では、相談事例や現状の対策の課題を整理し、事業者が講じるべき対応策を解説します。 1.フィッシング詐欺の被害額は過去最悪 国民生活センターによると、フィッシング詐欺の被害が急増し、2023年には被害額が過去最悪の541億円に達しました。背景には、インターネット利用のさらなる普及や、オンライン取引が日常化したことが挙げられます。また、詐欺グループの手口が年々巧妙化しており、メールやSMSだけでなく、多様なチャネルを活用してターゲットに接触する事例が増加しています。 消費者庁の報告によると、被害は特定の世代や地域に限らず、幅広い層に広がっているようです。高齢者だけでなく、デジタルに慣れた若年層も被害に遭うケースが目立ち、これまで安全とされていた認証システムを逆手に取るような手法も確認されています。 こうした詐欺が広がる背景には、多くの人が「自分は被害に遭わない」という過信や、忙しい日常で十分な注意が払えない現状もあります。 2.国民生活センターへ寄せられた相談事例 ここでは、実際に国民生活センターへ寄せられた詐欺被害の相談事例について紹介していきます。フィッシング詐欺がいかに日常に潜んでいるかを物語っています。被害者に共通するのは、偽の通知やメールを「本物」と信じてしまう状況に陥った点です。 【事例1】通販サイトからメールが届き、クレジットカード番号を入力したら不正利用された 大手通販サイトから携帯電話に「会員満期通知」という件名でメールが届いた。メールを開く と、「月会費 550 円が引き落としできませんでした」と書いてあり「会員ログイン」という記載が あったのでタップして遷移した。切り替わったページにはクレジットカード番号を入力する欄が あったのでクレジットカード番号を入力した。しばらくして、クレジットカード会社から連絡が あり、第三者に5万円使われたことがわかった。どうすればいいか。(2023 年 5 月受付 年代不明 女性) 【事例2】不在通知の SMS が届き、パスワード等を入力したらキャリア決済で課金された 宅配業者から不在通知の SMS が届き、詳細を確認するために記載されていたリンク先の URL か らログインしてパスワード等を入力した。その後、キャリア決済によって身に覚えのないオンラ インゲームで約1万...
Webスキミングの最新インシデントとチャージバック対策の重要性
2024年10月3日、大手カフェチェーン「タリーズコーヒー」は、ECサイト「タリーズ オンラインストア」で大規模なクレジットカード情報の漏洩があったと発表しました。原因は「Webスキミング」という、よく使われる手口によるものです。Webスキミングは、ユーザーが正規のウェブサイトを利用している際に情報を盗み取るため、被害に気づきにくいという厄介な特徴があります。本記事では、タリーズの事例を取り上げ、Webスキミングの脅威や事業者が直面するチャージバック被害のリスク、その対策の重要性について解説していきます。 1.タリーズ オンラインストアからクレジットカード情報が漏洩 インシデントの概要 2024年10月3日、タリーズコーヒージャパン株式会社は、自社が運営する「タリーズ オンラインストア」において、第三者による不正アクセスが発生し、個人情報およびクレジットカード情報が漏洩した可能性があることを公表しました。 5月20日に警視庁から同オンラインストアでのクレジットカード情報漏洩の懸念について連絡を受けたことが発端です。タリーズは同日中にオンラインストアでのクレジットカード決済を停止し、5月23日にはオンラインストア自体を一時閉鎖しました。 その後、第三者調査機関による詳細な調査を実施した結果、オンラインストアのシステムの脆弱性を突いて不正アクセスが行われたことが判明しました。原因として、ペイメントアプリケーションの改ざんが行われたことが確認されています。 オンラインストアの再開は、セキュリティ強化策を講じた上で改めて告知される予定ですが、2024年10月15日時点で未だ閉鎖されている状態です。 被害の範囲 今回の不正アクセスにより、タリーズオンラインストアの会員92,685名の個人情報が漏洩した可能性があります。漏洩した可能性のある個人情報の内容は以下のとおりです。いずれもユーザーのプライバシーに深く関わるものであり、不正利用やフィッシング詐欺などの二次被害を引き起こす可能性があります。 ・氏名・住所・電話番号・性別・生年月日・メールアドレス・ログインID・ログインパスワード・配送先情報 さらに、2021年7月20日から2024年5月20日までの期間にタリーズオンラインストアでクレジットカード決済を行った52,958名のクレジットカード情報も漏洩した可能性があります。漏洩した可能性のあるクレジットカード情報は以下のとおりです。 ・クレジットカード番号・カード名義人名・有効期限・セキュリティコード 特に、通常はECサイト側で保存されないはずの「セキュリティコード」までもが漏洩している点は深刻です。セキュリティコードはオンライン決済における最後の砦であり、カードの不正利用を防止するための重要な情報です。この情報が漏洿したことで、第三者による不正なカード利用のリスクが極めて高まっています。 2.Webスキミングとは Webスキミングの仕組み ペイメントアプリケーションの改ざん Webスキミングでは、まず、攻撃者はウェブサイトの脆弱性を見つけ出します。 古いソフトウェアの使用、セキュリティパッチの未適用、弱いパスワード設定などが原因となります。脆弱性を特定した攻撃者は、ウェブサーバーやウェブアプリケーションに不正に侵入する流れです。 次に、侵入した攻撃者はユーザーがクレジットカード情報や個人情報を入力する決済ページに、スキマーと呼ばれる悪意のあるJavaScriptコードを埋め込みます。このスキマーは、ユーザーの入力情報を収集するように設計されています。 ユーザー情報の不正取得方法 ユーザーがオンラインショップの決済ページで商品を購入する際、クレジットカード情報や個人情報を入力します。この際に、攻撃者が埋め込んだスキマーが、ユーザーの入力データをリアルタイムで傍受する仕組みです。 通常、ウェブサイトとサーバー間の通信は暗号化されており、第三者が途中でデータを盗み見ても内容を理解できないようになっています。しかし、スキマーはユーザーのブラウザ内で動作しており、ユーザーが情報を入力するまさにその瞬間にデータを取得します。暗号化が行われる前のデータ、すなわち平文をそのまま攻撃者に送信することができるのです。クレジットカードのセキュリティコードまで漏洩したのは、このような仕組みによるものです。 Webスキミングの厄介な点 被害の拡大スピード Webスキミングの深刻な問題の一つは、被害が急速に拡大することです。一度サイトが攻撃者によって改ざんされると、そのサイトを訪れるすべてのユーザーが被害に遭うリスクがあります。 例えば、タリーズオンラインストアの事例では、約3年間にわたり不正アクセスが続いていた可能性があり、その間に約5万3千人のクレジットカード情報が漏洩した恐れがあるとされています。攻撃が長期間放置されると、被害者の数が急増し、被害の範囲も広がってしまいます。 タリーズのように、人気のあるオンラインストアほどアクセス数が多いため、被害の範囲が広くなりがちです。...
急増するマッチングアプリ詐欺被害への本人認証対策
急成長を遂げるマッチングアプリ市場。その利便性を悪用した詐欺被害が深刻化しており、政府も規制強化やマイナンバーカード活用の推進に動き出しています。しかし、従来の本人認証手段では防ぎきれない巧妙な手口が増加しており、新たな対策が必要です。本記事では、最新の詐欺事例、現行の認証技術の課題、事業者に向けた解決策を紹介します。 1.マッチングアプリ詐欺被害の実態 マッチングアプリ市場の拡大 マッチングアプリ市場は、近年急速に拡大しています。株式会社タップルの調査によれば、2021年の市場規模は768億円で、2026年には1,657億円に達するとの予測です。大手アプリ「Pairs」は累計1,500万人以上の会員を抱え、100万人超の利用者がいるサービスも多数存在します。 拡大の背景には、メディアでの露出増加による認知度向上や、新規参入のハードルが低いことが挙げられます。 特に、コロナ禍を機にオンラインでの出会いが広がり、今では若年層に限らず、幅広い年代が利用するようになっています。さらに、低価格な月額料金や無料プランの提供により、手軽に試しやすいことも市場の成長を支えている要因です。 マッチングアプリ詐欺被害の急増 マッチングアプリの利用増とともに詐欺被害が増加の一途をたどっています。 利用者がアプリを通じて知り合った相手と、直接会うことなくメッセージを重ねるうちに、親密さや恋愛感情を抱き、最終的に金銭などを騙し取られる事例が後を絶ちません。「警察庁・SOS47特殊詐欺対策ページ」によると、こうした被害に遭うのは男性が約6割、女性が約4割で、男女を問わず被害が広がっています。詐欺師がターゲットと接触する手段として最も多く利用しているのはマッチングアプリであり、SNSよりも高い割合を占めています。 さらに、実際に金銭被害に遭わなくても、マッチングアプリを通じてネットワークビジネスや投資の勧誘、金銭の貸し出し依頼を受けるなど、詐欺に巻き込まれそうになるケースも数多く報告されています。 マッチングアプリ詐欺の被害事例 以下は国民生活センターに寄せられた詐欺被害の事例です。オンラインでのやり取りでは相手の身元確認が不十分だとリスクが高く、また相手の足取りを確認しづらいため、問題が発生した際に追跡が困難になる点に留意が必要です。 ケース1 マッチングアプリで日本在住のワイン輸入業者の役員を名乗るイギリス人男性と知り合い、無料メッセージアプリで連絡を取り合うようになりました。彼は「結婚後に資金を出し合って投資しよう」と提案し、ユーザーは暗号資産を130万円、さらに男性に会うために追加で40万円を送金しました。その後、「新型コロナに感染したので会えない」と連絡があり、翌月にも追加の送金を求められ、20万円を送った後、男性との連絡が途絶えました。 ケース2 マッチングアプリで知り合った中国人女性に、FX取引で儲けていると勧められ、彼女の指示でスマホに取引アプリをインストールしました。アドバイザーと称する人物とも連絡を取り、まず10万円、その後さらに200万円を国内の外国人名義の口座に振り込みました。アプリ内で利益が出ているのを確認し、出金を依頼しましたが、返信が来なくなりました。 2.現状の本人認証における課題 eKYCの課題 マッチングアプリでは近年、eKYC(electronic Know Your Customer、電子的な本人確認)を採用し、アプリ利用者の身元確認を行っています。eKYCは、利用者が身分証明書の写真を提出し、顔認証やAIによる照合を行うことで、迅速かつ効率的に本人確認を完了する仕組みです。 現在のeKYCシステムは、高度な画像解析技術やAIを用いて偽造書類の検出を試みていますが、偽造技術も同時に進化しています。結局のところ、画像そのものは匿名であり本人確認の信頼性がなく、なりすましのリスクを完全に排除することは不可能です。 最近ではマイナンバーカードを含む偽造書類の製造工場が摘発される事例も多く報じられており、高度な偽造書類が市場に出回っています。中にはWebサイトを開設し、偽造書類の作成を請け負う業者まで出てきている始末です。今や誰でも簡単に偽造書類を入手できる時代になっているのです。 政府はマイナンバーカードの活用を推進 2024年9月13日、河野太郎デジタル大臣は、恋愛マッチングアプリでのロマンス詐欺を抑止するため、本人確認にマイナンバーカードを活用するよう働きかける方針を示しました。デジタル庁と警察庁がマッチングアプリ事業者団体に要請し、ICチップ読み取りや公的個人認証サービスの利用で、安全性や信頼性が向上することを強調しました。 ICチップの読み取りに対応するなどすれば、現在よりも安全性は一定程度高まるものの、依然として課題は存在します。 電子証明書には「4桁の暗証番号」が必要 マイナンバーカードの電子証明書は、カード内のICチップに記録されており、オンラインでの本人確認や行政手続きに活用される機能です。これにより、公的個人認証サービスなどを通じて、インターネット上で安全に身元確認が行え、電子申請や証明が可能となります。 電子証明書を利用する際には「4桁の暗証番号」が必要ですが、この暗証番号が漏えいすると、カードの現物が他人に奪われた場合には、悪用されるリスクが生じます。カードを安全に保管することはもちろん、暗証番号は誕生日など簡単に推測されないものに設定し、他人に知られないよう十分注意する必要があります。...
急増するリアルタイムフィッシングの脅威と対策
現代のサイバー攻撃は、かつてないほど巧妙化しており、中でも急増しているのが「リアルタイムフィッシング」です。従来のフィッシング攻撃を進化させ、被害者が入力した情報をリアルタイムで盗み取ることで、瞬時に不正利用が可能となる仕組みです。 本記事では、リアルタイムフィッシングの被害事例や手口、旧来のセキュリティ対策の限界を詳しく解説していきます。リアルタイムフィッシングの脅威を正しく理解し、適切な対策を講じることが重要です。 1.リアルタイムフィッシングによる被害事例 NTTドコモ利用者のケース 2021年9月末から10月初めにかけて、NTTドコモの利用者がリアルタイムフィッシングの手口により、約1億円分のギフトカードを不正に購入される被害が発生しました。被害者は「ドコモお客様センター」からの支払い確認を求める偽のSMSを受け取り、添付されたURLをクリック。 遠隔操作ウイルスを含む偽アプリ「NTTセキュリティ」をインストールさせられる仕組みです。被害者が携帯端末に契約者確認用の暗証番号を入力すると、犯人は即座に盗み、ドコモのオンラインショップで不正購入を行ったと見られます。 従来のフィッシング攻撃と異なり、リアルタイムフィッシングでは、攻撃者が被害者の動作をリアルタイムで監視し、瞬時に情報を利用します。このため、被害者が何が起こったのかを理解する前に、重大な損害が発生するリスクが高まっているのです。 2.リアルタイムフィッシングの手口 偽メールやSMSによる誘導 攻撃者は、まず被害者を偽サイトやアプリに誘導するために、信頼できる企業やサービスを装ったメールやSMSを送信します。例えば、「ご利用料金のお支払いが確認できません」や「アカウントに不審なアクセスがありました」といった内容で、緊急性を感じさせるメッセージがよく使われる手口です。被害者はメッセージに記載されたリンクをクリックしてしまい、偽のログインページやアプリに誘導されます。 偽ログインページと偽アプリの使用 リンクをクリックした被害者は、正規のログインページやアプリに見せかけた偽のページに辿り着きます。この偽ページやアプリは被害者が疑いを持たないよう、本物と精巧に似せて作成されていることが通常です。被害者は、普段通りログイン情報や暗証番号を入力してしまいますが、実際にはその情報は攻撃者のサーバーに送信される仕組みです。 リアルタイムでの情報収集 被害者が入力した情報は、リアルタイムで攻撃者に送信されます。これにより、攻撃者は被害者がまだログイン中である間に、その情報を利用して正規のサービスにアクセスすることが可能になります。例えば、銀行口座にアクセスして送金を行ったり、オンラインショップで商品を購入したりといった不正行為が即座に実行可能です。 即時不正利用の実行 攻撃者は、盗み取った情報を利用して、瞬時に不正な操作を行います。被害者がログインしている間に、攻撃者が同じ情報を使って別のデバイスからアクセスし、アカウントの乗っ取りや資金の不正送金を行うことができます。このプロセスは非常に迅速に行われるため、被害者が異常に気付く前に不正利用が完了しているケースがほとんどです。 3.リアルタイムフィッシングを可能とする仕組み データ転送のリアルタイム性 リアルタイムフィッシングの最大の特徴は、被害者が入力した情報が瞬時に攻撃者へ送られる点です。通常、被害者は偽のログインページやアプリに自分のIDやパスワードを入力しますが、その情報はリアルタイムで攻撃者のサーバーに転送されます。攻撃者は被害者がログインしているその瞬間に、同じ情報を使って正規のサイトにアクセスし、不正行為をできる仕組みです。 中間者攻撃で2要素認証も突破 リアルタイムフィッシングの一部では、「中間者攻撃」という技術が使われることがあります。これは、攻撃者が被害者と正規のウェブサイトやアプリの間に割り込み、通信を傍受する手法です。攻撃者は、被害者が送信するデータを盗み取るだけでなく、被害者と正規サイトのやり取りをリアルタイムで操作することで、2要素認証を突破することも可能です。 例えば、攻撃者は偽サイトを作成し、被害者に「アカウントにリスクがある」と警告するメッセージを送信します。被害者が偽サイトにIDとパスワードを入力すると、それが正規サイトに転送され、セキュリティコードが被害者に送信されます。 被害者がそのコードを偽サイトに入力することで、攻撃者はコードを使って正規サイトにログインし、アカウントを乗っ取ることができるのです。これにより、被害者が全く気付かないうちに、情報が盗まれ、悪用されます。 動的に生成されるフィッシングサイト リアルタイムフィッシングで使用されるフィッシングサイトは、非常に短期間だけ存在し、その後すぐに消えることが多いです。偽サイトは動的に生成され、攻撃者がターゲットを誘導するためだけに使われます。従来のセキュリティ対策では、このような短命なサイトを発見しブロックすることが難しいため、被害を未然に防ぐことが難しくなっています。 4.旧来のセキュリティ対策の限界 静的パスワードの脆弱性 静的パスワードは、最も基本的なセキュリティ手段として広く使用されてきました。ユーザーが一度設定したパスワードをずっと使い続けるこの手法は、シンプルで便利ですが、リアルタイムフィッシングの前では脆弱です。 被害者が偽のログインページに入力したパスワードは、即座に攻撃者に渡ります。攻撃者はその瞬間に、このパスワードを使って正規のサイトにアクセスし、アカウントを乗っ取ることが可能です。 秘密の質問とセキュリティ質問の限界...
深刻化する転売問題の背景を徹底解説:効果的な多重アカウント対策とは?
チケット不正転売禁止法違反による摘発が相次いでいますが、その取り締まりには法的な限界と技術的な課題が存在します。この記事では、不正転売の背景と、その対策について詳しく解説していきます。 1.高額転売の摘発続々と チケット不正転売禁止法が2019年に施行されたにもかかわらず、転売は依然として社会問題であり続けています。実際に起きた不正転売の事件を見てみましょう。https://www.bengo4.com/c_1009/n_17581/50代男性が「ハロー!プロジェクト」のライブチケットを転売し、チケット不正転売禁止法違反の疑いで書類送検された例です。ライブチケット2枚を転売サイトに出品して、男女2人にそれぞれ2万円ずつ、定価の2倍以上で転売しました。 https://news.yahoo.co.jp/articles/d188f844d01ceec7df7a108c2f7eb5903ec395e9次の事例では、男性2人が旧ジャニーズ事務所のアイドルグループ「ジャニーズWEST」の約8,000人分のファンクラブアカウントを作成し、コンサートチケットを不正に入手して転売したものです。このようなニュースは日々報道がなされ、枚挙にいとまがありません。 2.法的な取り締まりの限界 チケット不正転売禁止法とは? 摘発事例として紹介した「ダフ屋行為」を取り締まる条例は、以前から各都道府県で制定されていました。2019年6月14日には「特定興行入場券の不正転売の禁止等による興行入場券の適正な流通の確保に関する法律」(以下「チケット不正転売禁止法」※通称)が施行され、インターネット上での高額転売も禁止されました。 「チケット不正転売禁止法」は、国内で行われる映画、音楽、舞踊などの芸術・芸能やスポーツイベントのチケットに関する法律です。この法律では、「特定興行入場券」と呼ばれる特別なチケットの不正転売を禁止しています。 「特定興行入場券」とは、興行主の同意のない有償譲渡を禁止する旨が明示された座席指定等がされたチケットのことです。 チケット不正転売禁止法で禁止される行為は主に次の2つです。 特定興行入場券(チケット)を不正に転売すること 不正転売を目的として、特定興行入場券(チケット)を購入すること 悪意のある転売を見極める難しさ 悪意のある転売なのか、それともたまたま事情によりチケットを手放さざるを得ないのかを見極めることは非常に困難です。例えば、同一人物が複数のアカウントを使用して高額で何度も商品を販売する場合、不正転売に該当する可能性が高いですが、一回限りの販売ではそうとは限りません。 また、消費者サイドの問題として、高額でも商品を購入する人がいるため、市場が成立してしまっているという問題も存在します。不利益を被ったと被害を訴える人が少なく、転売の問題が表面化しにくい状況が出来上がっているのです。 運営サイドでは、転売問題へ厳格に対応する守りのシステムや人的リソースにコストを投じることには消極的になりがちで、全てを取り締まることは現実的ではありません。 不正転売者、消費者、運営者、それぞれの思惑が絡み合い、転売市場は拡大し続けています。 3.技術的な取り締まりの限界 多重アカウント登録が可能な理由 1人で複数のアカウントを取得できてしまうことが、不正転売の温床となっています。どのような抜け道が存在しているのか一例を紹介していきます。 架空の個人情報での登録多くのシステムでは、名前、住所、電話番号、メールアドレスといった基本的な個人情報を入力するだけでアカウントを作成可能です。情報が本物であるかどうかを厳密に確認するプロセスが脆弱で、名前や住所、電話番号が架空のものであっても登録が通ってしまうため、同一人物が異なる情報を使って複数のアカウントを作成できる場合があります。 フリーメールサービスの利用インターネット上にはGmailやYahoo!メールなどのフリーメールサービスが多数存在し、これらを利用すれば新しいメールアドレスを何度でも作成できてしまいます。フリーメールアドレスは匿名性が高く、誰が作成したかを追跡することが困難です。 使い捨てSMSサービスSMS認証を採用しているシステムでも、使い捨て電話番号サービスを利用すれば複数のアカウントを作成可能です。インターネット上で簡単にアクセスでき、一時的に有効な電話番号が提供されます。不正転売者はこの番号を使って認証コードを受け取り、複数のアカウントを作成することができるのです。 本人確認手段の限界 多重アカウント登録への抜け道を防ぐことはなぜ難しいのでしょうか。ここでは技術的な観点から、限界点について深堀りしていきます。 メール認証の課題メール認証は、ユーザーが提供したメールアドレスに認証コードを送信し、そのコードを入力させることで本人確認を行う方法です。しかし、インターネット上には多数のフリーメールサービスが存在し、同一人物が異なるメールアドレスを使って何度でもアカウントを作成することが可能です。 SMS認証の課題SMS認証では、ユーザーが提供した電話番号に認証コードを送信し、そのコードを入力させることで本人確認を行います。市場には使い捨ての電話番号サービスが存在するため、電話番号を持っていないユーザーでも複数のアカウントを作成することが可能です。同じ電話番号を使い回すこともできるため、SMS認証も完全な解決策にはなり得ません。 二要素認証の課題二要素認証は、通常のパスワードに加えて、もう一つの認証要素を使用することでセキュリティを強化する方法です。導入コストが高く、ユーザーの利便性が低下しがちです。特に、スマートフォンを持っていないユーザーや技術に不慣れなユーザーにとっては利用が難しい場合があります。 不正検知の限界とコスト 不正行為は常に進化を続けています。不正検知システムも、不正行為の進化に合わせて絶えずアップデートが必要ですが、全ての不正行為を100%検知することは現実的ではありません。...
進化するフィッシング詐欺:AI技術を駆使した巧妙な手口と対策
AI技術の飛躍的な進歩に伴い、フィッシング詐欺の手口も一層巧妙化しています。例えば、従来のフィッシングメールは単純な詐欺文が多かったものの、現在では文法的に正確で自然な文章が生成され、受信者を騙す手法が高度化しています。進化する脅威に対し、企業はどのようにして防御策を講じるべきでしょうか。本記事では、巧妙化するフィッシング詐欺の手口と、その対策について詳しく解説します。 1.AI技術によるフィッシング詐欺の巧妙化 フィッシングメールの認知や、一定の対策がユーザーの間に広まった一方で、フィッシングメールもAIの登場により劇的な進化を遂げました。本節では、フィッシングの手法が具体的にどのように進化しているのかについて詳しく解説します。 AIによるフィッシングメールの生成 従来のフィッシングメールには明らかな誤りやスペルミスが多く、容易に見破ることができました。現在ではAIを活用し、まるで人が書いたかのような人間らしい文章が生成されるため、受信者に対する信憑性が飛躍的に向上しています。これは、AIが大量のデータを分析し、適切な言葉遣いや表現を学習することにより実現されています。 AIによって生成されたフィッシングメールは、文章としての正確さに加えて、より自然な言い回しと正規のメールの口調を模倣できるため、一見すると正規の企業や個人から送られてきたもののように見えるほどの精巧さです。 ターゲットを狙った個別化の向上 AIの活用により、SNSやインターネット上に公開されている情報を収集し、フィッシングメールにターゲットの関心や趣味に合わせた内容を織り込めます。ターゲットの過去のメールや通信パターンを学習し、そのスタイルやトーンを模倣することまで可能です。 例えば、ターゲットの名前や職務内容から、個々に宛てた形式にするとともに、過去に特定の企業と取引をしていた場合、その企業名や取引内容に関する情報をメールに含めることで、受信者はそのメールが正当なものであると錯覚しやすくなります。 フィッシング攻撃の自動化 AIはターゲットのメールアドレスを収集し一斉送信を行います。テンプレートを自動生成し、それぞれのテンプレートを個別のターゲットに合わせてカスタマイズまで行います。数千、数万件のフィッシングメールを短時間で作成・送信でき、その規模と速度は企業や個人にとって大きな脅威です。 さらに、送信後のメールの効果をAIに分析させ、精度を向上することが可能です。例えば、どのメールが開封され、どのリンクがクリックされたのかといったデータを収集し、それに基づいて次の攻撃をより効果的にするための調整を行います。このようにして、フィッシング攻撃は継続的に改善され、ますます高度で巧妙な手法が生まれる仕組みとなっています。 ソーシャルエンジニアリングの強化 ソーシャルエンジニアリングとは、人間の心理や行動を巧みに利用して情報を引き出す技術です。AIは、ターゲットのオンライン行動やソーシャルメディアでの活動を分析し、その人の興味や関心、行動パターンを把握します。得た情報をもとに、ターゲットが反応しやすい内容や状況を巧みに作り上げ、説得力のあるフィッシングメールを生成する仕組みです。 ターゲットの人間関係から、信頼できる人物になりすましてメールを送ることも可能です。同僚や友人の言葉遣いやコミュニケーションスタイルを模倣することで、ターゲットはメールの信憑性を疑うことなく、情報を提供してしまう可能性が高まります。 検出回避技術の進化 従来のフィッシングメールは、スパムフィルターやセキュリティシステムによって比較的容易に検出されていましたが、AIを活用することで、防御策を回避する手法がますます洗練されてきています。 AIは、セキュリティシステムの検出アルゴリズムを学習し、その弱点を見つけ出すことができるのです。フィッシングメールのテンプレートを複数作成し、それぞれに微妙な変更を加えることで、検出されにくいメールを大量に生成したり、ネットワークトラフィックの分析を行い、通常の通信パターンに合わせてフィッシングメールを送信することで、検出されにくくしたりしています。 2. 巧妙なフィッシングメールの事例 では、巧妙なフィッシングメールの具体的な事例を見ていきましょう。ここでは、大手企業を標的にしたフィッシングメールを取り上げます。多くの犯罪者たちが、有名企業の信頼性を悪用し、ユーザーを騙そうとしています。これらの事例から、AIを悪用したフィッシング詐欺がどれほど高度化しているか実感を持っていただけるでしょう。 楽天銀行を装った事例 楽天銀行を騙り、ATMで入金取引があったことを知らせ、ログインを促すフィッシングメールです。いくつかのリンクがメールに貼られており、一番上以外は全て本物の楽天銀行のサイトへ飛ぶ仕組みです。 出典:ロケットニュース24 【気をつけろ】楽天銀行を装うフィッシング詐欺がシンプルだけど危険度高めな理由とは? フィッシングサイトはID・PASSを登録するフォームですが、作りは精巧そのもので、URLが不自然な点以外、見分けがつきません。ログインすると、楽天の本物のサイトへ遷移します。 出典:ロケットニュース24 【気をつけろ】楽天銀行を装うフィッシング詐欺がシンプルだけど危険度高めな理由とは? 出典:ロケットニュース24 【気をつけろ】楽天銀行を装うフィッシング詐欺がシンプルだけど危険度高めな理由とは? 通常は名前やメールアドレスなどの個人情報、クレジットカード番号などをフィッシングサイトで取得しますが、今回のフィッシング詐欺はシンプルにID・PASSのみを抜き取ることを目的としています。個人情報がなくともID・PASSさえあれば、個人情報の取得など悪用できることも多いため、シンプルな罠で最大限の被害を狙ったものと言えます。 ヤマト運輸を装った事例 続いて、ヤマト運輸の事例です。「お荷物お届けのお知らせ」というタイトルで、ヤマト運輸を装ったメールが送られてきます。出典:弁護士JPニュース急増「フィッシング詐欺」なぜ引っかかる?...