フィッシング詐欺対策については、受信者側に不審メール注意喚起を促す啓発活動が活発に行われていますが、被害はなかなか減少せずむしろ増加しています。業種別の割合では、金融機関を騙るフィッシング詐欺が全体の6割を超えています。
こうした中、フィッシング詐欺を受信者の自己責任に任せることだけでなく、企業責任としてフィッシング詐欺対策をすることが重要になってきています。
目次
金融機関を装った最近のフィッシング詐欺実例
まず、最近の金融機関におけるフィッシング詐欺事例を3例見てみましょう。
ゆうちょ銀行事例 2016年04月13日最終更新情報
《詐欺の概要》
ゆうちょ銀行のインターネットサービス「ゆうちょダイレクト」からの発信を装った電子メール、ショートメールが送られ、そこからフィッシング詐欺サイトに誘導される。
《この詐欺事例の特徴》
このケースでは、ID、パスワード、合言葉を入力した後、当然正規のサイトにはログインできませんが、その時に「お客様の安全のため、お取引を中断させていただきました。」というメッセージを出すしかけになっていました。このため、直ちにフィッシング詐欺サイトだと気がつかなかったという被害者の方もいました。
《事件把握後の利用者へのアナウンスと対策》
⇒不審メールを受け取ったらゆうちょ銀行窓口に連絡
「なお、ゆうちょ銀行から、ショートメールを送付することはございません。また、ゆうちょ銀行からメールによりお客さま番号・ログインパスワード・合言葉等が失効したことをご案内することは一切ございません。
不審なメールを受け取られた場合には、安易にリンク先にアクセスしたり、添付ファイルを開いたりせず、下記の「ゆうちょダイレクトサポートデスク」または「不審なメール通報窓口」にご連絡ください。」
りそな銀行事例
《詐欺の概要》
りそな銀行を装った不審なメールが発信され、インターネットバンキングのログインIDやパスワード等の情報を盗みとろうとするフィッシング詐欺サイトに誘導される。偽の画面でインターネットバンキングのID、パスワード、利用カードの乱数情報の入力を促す。
《この詐欺事例の特徴》
偽電子メールの文面は5例確認されており、中には「本文:こんにちは!」というエクスクラメーション・マーク、「お客様のアカウントの安全性を保つために、「りそな銀行システム」がアップグレードされましたが、お客様はアカウントが凍結されないように直ちにご登録のうえご確認ください。」という、フィッシングメールと疑われやすい文章のものもありました。
《事件把握後の利用者へのアナウンス》
⇒不審メールを無視することと、ワンタイムパスワードの利用
「振込等の資金移動をされる際に「ご利用カード」をお使いいただいておりますが、「ワンタイムパスワード」をご利用いただくことにより、フィッシングやスパイウェア等の不正利用対策として有効です。
ワンタイムパスワード方式は、振込の実行画面でワンタイムパスワード生成器(ハードウェアトークン)またはワンタイムパスワード生成アプリ(ソフトウェアトークン)に表示される1回限りの数字をパスワードとしてご入力いただくため、ご利用カードよりも安全性が高まります。」
三井住友銀行事例
《詐欺の概要》
三井住友銀行を装い、登録パスワードの変更が完了したとして不審なサイトへのアクセスを促すメールが、三井住友銀行との取引の有無に関わらず不特定多数に断続的に発信される。
《この詐欺事例の特徴》
三井住友銀行からの正式なお知らせとして、『安全なワンタイムパスワードへの切り替えをおすすめします』というメッセージが何度か配信されたことがありました。今回の詐欺メールではそうしたタイミングで「注意:ダイレクトのパスワードが翌日に失効し、三井住友銀行のメンテナンスサイトにより、更新をお願いします」という文面でした。かなり強めの変更の促しにも取ることができます。
《事件把握後の利用者へのアナウンス》
⇒不審なメールに関しての注意喚起
「不審なメールが届いた場合は安易にリンク先にアクセスしたり、添付ファイルを開いたりせず削除してください。 万が一、リンク先の不正サイト等にパスワード等を入力した場合は、速やかに第一暗証を変更の上、第二暗証の再発行を行って頂きますようお願いします。
また、不審なメールの添付ファイルを開いてしまったり、不正サイトを開いてしまったりした場合は、ウィルス対策ソフトやスパイウェア対策ソフトにより、ウイルスチェックを行っていただくよう、強くおすすめいたします。」
みずほ銀行での電子署名付きメール発行の取り組み
金融機関でのフィッシング詐欺が拡がる中で、みずほ銀行では顧客向けに電子署名付きのメールを発行する試みを開始しました。
取り組みの概要
フィッシング詐欺などにつながる電子メールを安全な仕組みで配信する取り組みです。具体的には下記の2点を実現します。
- 1.電子メールの送信者が確かにみずほ銀行であることを保証
- 2.電子メールの内容が途中で改ざんされていないことを保証
方法はS/MIMEというしくみを使います。S/MIMEでは、送信者はメール本文と電子証明書に電子署名を付加し、添付ファイルにしてメールを送信します。この規格を使うと、セキュリティの高い認証や暗号化通信が可能になります。
S/MIMEを使ったみずほ銀行の取り組みの意義
先ほど確認した事例では、「不審メールを受け取ったら銀行の窓口に連絡」(ゆうちょ銀行)「不審メールを無視することと、ワンタイムパスワードの利用」(りそな銀行)「暗証番号の変更とウイルスチェック」三井住友銀行となっています。3行ともメールを受け取った時の適切な注意喚起、フィッシング詐欺サイトにアクセスしてしまった後のパスワードの強化、ウイルスチェックと、不審メールを受け取った受信者側での対策がメインとなっています。
こうした中で『みずほ銀行からのメールマガジン等への電子署名の付与について 電子署名付き電子メール』の取り組みは、「メール送信者側のフィッシング詐欺対策」だと言えるでしょう。
フィッシング詐欺対策にS/MIMEによるメール署名を使うメリットとデメリット
このように、S/MIMEによる電子メール署名を導入すれば、受信者側の注意喚起に期待するだけでなく、送信者側もフィッシング詐欺撲滅に向けて責任を果たすことができます。
フィッシング詐欺サイトを開設して偽メールを送ること自体は、本来の送信者とは無関係の第三者が実行することなので完全には阻止できません。
しかし、普段から自分が口座を開設している銀行からのメールをS/MIME方式で受信していれば、パスワードの変更などを促すフィッシングメールに電子署名がついていない場合に、「普段の銀行からのメールと違う!おかしい・・・」と気がつくことが容易になります。通信途中の改ざん検知も可能になりますのでセキュリティ度が格段に高まるメリットなどがあります。
一方、S/MIME導入のデメリットとして、認証局の運用コストや証明書のライセンス料金の発生、メールゲートウェイ設置費用等の問題もありますので、導入にあたっては費用対効果を考慮する必要があります。
メールだけでなく、企業のサイトにもSSLサーバ証明書を導入することで、フィッシング詐欺サイトか否かを判別するようにできます。
責任ある企業として、電子メール送信側のフィッシング詐欺対策をはじめよう!
フィッシング詐欺は電子メールを使った「振り込め詐欺」と同じです。完全に引っかかるほうが悪いと言って済ませてしまうわけにはいきません。企業として加害者に加担しないためにも注意の必要性をアナウンスするだけでなく、積極的にセキュリティの対策を施す必要があります。これまでは銀行などの金融機関がフィッシング詐欺の対象として狙われていましたが、今後は金融機関以外の企業や団体についても対象として狙われることがないとはいえません。
本ブログでは銀行をターゲットにしたフィッシング詐欺および対策について記述いたしましたが、顧客サービスの一環として、また企業のブランドイメージ向上のためにも、S/MIME導入による電子メール送信側のフィッシング詐欺対策を検討してみてはいかがでしょうか。
本ブログの情報参照元