フィッシング詐欺大量発生!あなたのApple IDが狙われている!最新ネットトラブル事情<5>

特集記事PR記事

※この記事はセキュリティ製品のPRを含みます

この半年ほどの間にフィッシング詐欺の被害が拡大している。フィッシング詐欺は、大手企業の企業名やブランド名を騙って、サービスのログインIDやパスワードを盗む犯罪である。

フィッシング対策協議会のフィッシング詐欺の報告件数は2019年10月に過去最大の8000件/月を超え、その後も高水準を維持している。

img_180913_01.jpeg
出典:2019/12 フィッシング報告状況(フィッシング対策協議会)
https://www.antiphishing.jp/report/monthly/201912.html

また、警察庁の発表でも、2019年9月にオンライン銀行口座での不正送金被害が急増しており、フィッシング詐欺が原因だと見られている。発生件数は436件、被害額は約4億2600万円にもなる。

出典:フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について(警察庁)
https://www.npa.go.jp/cyber/policy/caution1910.html
img_180913_01.jpeg

フィッシング詐欺を行う犯罪グループは、どんな企業名を騙ってフィッシングメールや、偽のログインサイトを作っているのだろうか?それを知れば、何に注意すべきか傾向と対策がわかってくる。
BBソフトサービスでは、自社製品「詐欺ウォール」での検知実績に加え、警察やその他の国内機関から集められた情報を元に「盗用されたブランド」を集計している。

最も狙われているブランドは「Apple」

2019年4月~9月に検知、報告されたフィッシングサイトの件数を月単位で集計した。
この表で最も狙われているのが「Apple ID」だ。国内のスマホの利用者数で圧倒的なシェアを持っているiPhoneは、犯罪者が狙う標的としても非常に魅力的だ。

2019年4月2019年5月2019年6月2019年7月2019年8月2019年9月
1Apple IDモンスターストライクindeedApple IDApple IDApple ID
2AmazonindeedApple IDAmazonNTT docomoApple ID
3sagawaApple IDPayPayMicrosoftAmazonAmazon
4日本郵便AmazonAmazonsoftbanksoftbankMicrosoft
5NTT docomoCIBCモンスターストライクNTT docomoiD日本郵便
6PayPal三菱UFJニコス三菱UFJニコスNTTイフauPayPal
7American ExpressDesjardinsNTT docomoauMicrosoftLINE
8メルカリPayPalPayPalPayPalPayPalBNP Paribas
9NetflixNTT docomoau三菱UFJニコスLINEISPウェブメール
10楽天MyEtherWalletOffice365LINE三菱UFJニコスOneDrive
※フィッシングに盗用されたブランドの遷移(BBソフトサービス調べ)

Twitterで「AppleIDがロック」というキーワードで検索をかけると、フィッシング詐欺メールが届いたという投稿が毎日のように上がっている。常時新しいURLで偽サイトが出現し、大量な偽メッセージがばらまかれている。偽のログイン画面は本物と比べても全く遜色なく、見た目での判断は困難だ。

img_180913_01.jpeg
偽のApple ID入力画面
出典:Appleをかたるフィッシング(2019/08/20)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/apple_20190820.html

よくブラウザー表示の

「URLを観察すればわかる」
「鍵マークが無いものは詐欺」
「日本語表示が不自然」
「Who isでドメインの所有者を調べる」
などを判別ポイントとして挙げている文書を見ることがある。
けっして間違いではないが、最近の手口の変化に合わなくなってきており、そのような箇所を見てもすぐには判断できないようになってきている。ましてやドメイン所有者情報を調べるなどは一般の方にはとても勧められるものではない。

Apple IDを入手できるとどんなことができる?

Apple IDは非常に汎用性の高いアカウントだ。アプリ課金やキャッシュレス決済のために、クレジットカード登録を行っていることも犯罪者に狙われやすいポイントだ。
具体的にどんな被害が考えられるか挙げてみよう。

1)Apple Storeで商品を成りすまし購入

AppleStoreには高価な商品が並んでいる。特にiPhoneは高価で換金しやすい商品だ。コンパクトであることも犯罪者にとって扱いやすい。勝手に注文した商品を本人にばれないように受け取ることさえできればよい。2019年8月にドコモオンラインショップで1000台のiPhone Xが同時多発的に搾取される事件が発生した。一部の受け子は逮捕されたが、首謀者を含め大半は捕まっていない。

2)別のiPhoneにApple IDを移し利用する

Appleユーザーなら、iCloudにiPhone/iPadのバックアップを取っていると思う。Apple IDがあれば、別のiPhoneにバックアップデータを復元することができる。復元するデータにはApplePayなどのWalletに登録したクレジットカード情報も含まれる。カードを使えるようにするにはクレジットカード裏面の3桁の確認コードの入力が必要だが、フィッシング詐欺の手法を用いて所有者を騙して入手することはそれほど難しくはない。

3)iCloudのバックアップデータでプライバシーがダダ洩れ

iCloudには写真や動画、メールアカウントなど、全ての情報がバックアップされている。あなたのプライバシーは全て知られることになる。写真やメールを全て見られて、それをネタに脅迫されるなどの犯罪につながるリスクがある。またiPhoneに様々なネットサービスのID、パスワードを憶えさせていたら、その情報は全てApple IDで取得可能だ。Googleアカウント、Amazon、楽天、Yahoo! Japan、携帯電話会社のIDパスワード... あなたは、いくつのネットサービスをスマートフォンで利用しているだろうか?

この3つのポイントを考えるだけでも、Apple IDがどれだけ犯罪者にとって有用なのか理解して頂けると思う。これらの不正利用を防ぐためにやっておくべきことを最後にまとめておこう。

フィッシング詐欺被害を回避するポイント

・SMSやメールで送られてくるメッセージの中のURLは絶対に開かない

自分の使っている企業のサービスなら、正規サイトの自分のアカウントにログインすれば、自分あての連絡事項を確認することができる。メールやSMSのURLは利用せず、正規サイトをブックマークしておき、そこからログインすれば偽サイトに誘導されることは無い。

・2要素認証を設定しておく

Apple IDだけでなく、銀行口座やクレジットカードなど決済情報を登録しているサイトでは、必ず2要素認証を設定しておくことだ。パスワードは自分が漏らさなくても、企業からの情報漏えいや、ハッカーの技術によって破られることがある。
2要素認証の確認コード自体を盗むフィッシング詐欺手口も発生しているため2要素認証が万能とは言えないが、犯罪被害を防ぐ大きな抑止力となる。

・ウイルス対策ソフトのフィッシング詐欺サイトを防ぐ機能を活用する

SafariやChromeには、通報された最新の詐欺サイトのURLが常に読み込まれ、ブラックリストに登録されている。日本国内の情報も官民連携がうまく機能し比較的早く反映されている。Chromeの場合は、通報されたフィッシング詐欺サイトや偽販売サイトのURLにアクセスしようとすると、真っ赤な警告画面が出る。

img_180913_01.jpeg

国内で販売される主要な総合セキュリティソフトベンダー(ノートン、ウイルスバスター、McAfee、カスペルスキーほか)も、このURLブラックリストの提供を受けているが、反映され方はベンダーによってまちまちだ。ブラックリストには、詐欺サイトのごく一部分しか登録されず、特にフィッシング詐欺などはURLが変わる頻度が24時間以下のため登録が間に合わない。また、何らかの理由でブラックリストフィードを中断しているベンダーもあるように見受けられる。

このような、ブラウザーや総合セキュリティ対策ソフトの欠点を補う、ネット詐欺専用セキュリティソフト(詐欺ウォール/BBSS)もある。ブラックリストに加え、リアルタイムにサイトの危険性をスコア化して自動判別する機能を持ったもので、URLを変更した詐欺サイトでも同じものだと判別できる強みがある。

img_180913_01.jpeg
ネット詐欺専用セキュリティソフト「詐欺ウォール」の警告画面

ネット詐欺は画面に表示する情報で、ユーザーを騙して行動させるのがとても上手だ。 ちょっとした翻訳ミスや、変な日本語表現を笑って「私は見抜ける」と思い込んでしまっては、相手の思うつぼだ。「私は騙されない」というのは、勘違いであると断言しておく。

この、ブラウザー、ウイルス対策ソフト、ネット詐欺専用セキュリティソフト の3つのレイヤーで詐欺サイト対策をすることをお勧めする。