増えるフィッシング被害、「偽サイト」は今や見分け困難に……DMARCは有効か？ 他の対策方法は？

なぜフィッシングは増えている？ 背景と手口

　フィッシングの報告件数は年を追うごとに増加している。2024年にフィッシング対策協議会に寄せられた報告件数（海外含む）の累計は、前年同期比で144％となった。月によって変動があるものの、Amazonをかたるフィッシングが報告数全体の約20〜30％を占めるほか、金融・決済に関わるサービスやEコマース、交通、配送系のサービスなどが主な標的となっている。最近話題となっている事例では、複数の証券会社のアカウントが不正ログインで乗っ取られたうえ、証券の不正な売買が行われていたことが明らかになっているが、この一連のインシデントでも、認証情報の取得手段の一つとしてフィッシングが用いられたのではないかと疑われている。

　フィッシングやなりすましキャンペーンが横行する背景には、わずか50米ドル程度で購入でき、本物そっくりのフィッシングサイトを簡単に作成できるフィッシングツールキットの存在がある。普及している代表的なものとしては、英国の銀行の二要素認証を突破する目的で用いられた「Kr3pto」や、PayPal、Amazonなどの大手ブランドを標的にした「16Shop」などが知られている。2023年8月に16Shopの作成者が逮捕されたことで、サイバー犯罪に対抗する国際協調的な法執行の取り組みとともに、フィッシング攻撃の実態が改めて世の中に認識されることとなった。

　そのほか注目すべき動向に、QRコードを用いて悪意あるリンクに誘導するフィッシングの増加がある。正規のサービスを装ったメールにQRの画像を貼るほか、飲食店のテーブルなどに置かれた正規のQRの上に、偽サイトに誘導するQRをシールで貼る手口が存在する。通常のフィッシングと異なる点は、メール本文にURLが記載されていないことだ。

　こうなると、ドメイン名の表記で偽サイトと疑うことが難しくなり、迷惑メールフィルタにも検知されにくくなる。攻撃者は、正規のQRコードでもリンク先に短縮URLがよく使われる点や、QRコードを読み取ったスマホの画面上に表示される文字数に限りがあることを見越して、一目で本物とは判別がつかないURLを用意するのである。

巧妙な偽サイトの数々、目的はフィッシングだけじゃない

　偽サイトはフィッシングだけでなく、様々なオンライン詐欺にも用いられている。下図は、実際にロマンス詐欺や投資詐欺などで使われている偽のEコマースサイトの画像だ。

　犯罪者は、X（旧Twitter）などカジュアルなSNSで公開されているプロフィールをもとに標的を絞り、異性や有名人を装ったダイレクトメッセージを送って、言葉巧みに個別のLINEのやり取りに誘導する。クローズドなチャットで会話を進める中で、自分（犯罪者）が経営する会社が（海外で）運営するECサイトだと示して、時間をかけてターゲットを信用させ、最終的に金銭を騙し取るのである。

　上図のサイトはトップページだけでなく、個々の商品や商品ごとの購入者コメントまで表示され、ショッピングカートも動作するよう作り込まれているため、少し触った程度では偽サイトだと気付けない。恐らくどこかのECサイトを、コードも含めてスクレイパーボットを用いてコピーし、ブランドロゴだけを入れ替えて作成されたものだろう（ちなみに、偽ロゴとドメイン名だけを替えた複数の偽サイトが存在する）。商品をカートに入れて決済に進もうとすると、新規ユーザーの登録画面が表示され、入力された個人情報を抜き取る仕組みになっている。フィッシングとあわせて、個人情報の窃取に利用されている可能性もある。

　こうした偽サイトは、特に海外ユーザーを含め多くのアクセスが予想される大阪万博やスポーツ観戦などのイベント、あるいは人気商品の販売サイトなどでは、本物と見分けがつかない作り込みが行われる可能性がある。消費者、事業者側の双方で特段の警戒が必要だ。