フィッシングメール最前線（340号)

前回は号外として雑な仕事としてのフィッシングメールのお話をしました。

今回は、ちょっとマジメにフィッシングメールの現状と対策についてのお話をします。

このメルマガではちょいちょいフィッシングメールをテーマにした記事を書いていますが、これには理由があります。

一つはフィッシングメール自体が進化するためです。
進化に合わせてこちら側も知識をアップデートしておかないといけません。
もう一つはこのメルマガの読者も入れ替わりがあるためです。
新しい方には余計なトラブルに巻き込まれないためにも、是非フィッシングメールのことを知っておいていただきたいと思うためです。


1. フィッシングメール

フィッシングメール(phishing mail)というのは造語です。
魚釣りのfishing（獲物を釣り上げる）を、'f'と同じ発音の'ph'に入れ替えて隠語のように使い始めたもののようです。（他にも諸説あります）

実在の組織などを騙ったメールやショートメッセージを送り付け、相手の誤解を利用してログイン情報ややカード番号といった個人情報をだまし取ることを目的としたメールを指します。
誤解させるため、フィッシングメールではクリックしたくなるようなタイトルや内容のメールがやってきます。
「【Amazon】お客様のアカウント認証に関する重要なお知らせ」
「マイナポイントプレゼント」

通常、フィッシングメールにはURLが付いていて、それをクリックすると本物そっくりのニセサイトに誘導されます。
ニセサイトと言ってもバレては意味がありませんので、ロゴや色、画面構成は本物と同じものを流用しますので、見た目は本物そっくり（というか本物と同じ）であることが多く見抜くことはできません。

例えば、amazonのサイトの正しいURLは次の通りです。
　https://www.amazon.co.jp/

ですが、ニセモノではURLが違うものになります。
　https://www.amazon.co.jp.example.com/

基本的には、最初の//と/の間に囲まれた文字列の末尾がamazon.co.jpならホンモノ、それ以外はニセモノということになります。
とはいえ、これにはいろんなゴマカし方があります。末尾を見ても見抜けないパターンもありますので「メールに記載されたリンクはクリックしない」が鉄則なのは変わりありません。

人に誤解させて、何らかの行動を取らせるという点ではいわゆるオレオレ詐欺（特殊詐欺）と同じ、いわばインターネットを介した特殊詐欺といえます。


2. フィッシングメール対策協議会

こういったフィッシングに関する情報収集や注意や対策の呼びかけを行っている団体があります。フィッシングメール対策協議会（以下、協議会と書きます）です。
　https://www.antiphishing.jp/

この組織では活動の一環として全国からフィッシングメールの情報提供を募り、月次レポートを発行しています。

今回は、協議会の2023年11月のレポートをもとに、フィッシングメール最前線として情報提供をいたします。


3. フィッシングメール最前線

協議会ではフィッシングメールの報告をメール等で受け付けており、その報告受付件数を公表しています。

これでフィッシングメールの総数がわかるものではありませんが、前月と比較することで、傾向の変化などを知ることができます。
これは貴重な情報源です。

さて、月次レポートによると2023年11月には84,348件の報告がありました。

この数字は実際に送られてきているフィッシングメールのごく一部にすぎません。
仮に千通に一通の報告率だとすると一ヶ月で8400万件のフィッシングメールが送られたことになります。

さて、この報告件数は月毎に見ると、かなりのデコボコがありますが、年単位でならしてみると、かなりの勢いで増えていることがわかります。

　2017年：   817件／月
　2018年：  1663件／月（前年比203%）
　2019年：  4648件／月（前年比279%）
　2020年： 18823件／月（前年比405%）
　2021年： 45933件／月（前年比244%）
　2022年： 81396件／月（前年比177%）
　2023年：100508件／月（前年比123%）

ここ二年ほどは増え方がやや鈍ってきていますが、それでも増え続けているわけですから、それなりの成功率があるということなのでしょう。


4. 悪用されるブランド

フィッシングメールの大半は大手のブランドを名乗ります。
amazonや楽天といったショッピングサイト、三菱UFJなどの金融機関、ETCカードのようなサービス機関など、多くのブランドが利用されています。

利用されるブランド数も以前はせいぜい20種程度だったのが、近年は70〜120種もの多様なブランドが悪用されるようになっています。
最近では、ETCカード、マイナポイントなどがよく悪用されているようです。

また、金品の当選、怪しげなアルバイトの歓誘メールも続いているようですので皆さんのご家族とも情報共有をするなどしてひっかからないようにご注意ください。


5. ドメイン認証

最近はフィッシングメールを出す側もいろいろと工夫していますので、だまされないようにするのも大変です。

メールサーバを管理する側も十分そのあたりの事情はわかっていますし、そのための工夫もいろいろと考案されていて、実際に導入が進んでいるものもあります。

そういった対策の一つに、メールサーバがメールを受信する時にその送信元が信頼に値するかどうかをチェックする「ドメイン認証」という仕組みがあります。
こういったドメイン認証の代表的な機構として、DMARC（ディーマーク）があります。

DMARCはメールサーバ管理者によって導入されメールサーバ上で動くものです。一般の利用者は何もしなくてＯＫです。
利用者から見ると、「サーバ側で勝手に導入されている」機能ですし、それが動いていることを知る必要も特にありません。

さて、DMARCを利用すると、ブランドを騙っている不正なメールを受信拒否できます。
ですが、DMARCの効果を発揮するには送信サーバ側と受信サーバ側の両方の管理者が対応しなければなりません。

また、DMARCが全てを解決してくれるわけではありません。
DMARCが防ぐのは、ドメインを騙ることの防止だけですので、利用者が送られてきたメールの発信元（ドメイン）を気にしなければそれまでです。

悪者がfake-amazon.com というドメインを取得しメールサーバを作り、メールを送る場合を考えます。
これはDMARCにとっては、fake-amazon.comというドメインの保有者が運営しているメールサーバから来た一点の曇りもない「正しいメール」です。
悪者が堂々とDMARCを運用すれば、ニセのドメインから正しいメールを出すことができるのです。

届いたメールの発信元を見て「あ、amazon.comじゃないぞ、fake-amazon.comだ。これは怪しい」と気付かない限り、何も解決しないことはご理解いただけると思います。
結局のところ、現時点ではメールがamazonを騙るフィッシングメールだ、と判断できるのは利用者でしかないのです。


6. まとめ

ここ５年以上、フィッシングメールは増え続けています。
それはフィッシング対策協議会の月次レポートからも明らかです。

また、悪用されるブランドも増え続けており、最近では、amazon、ETCカード、マイナポイントがよく使われている様子です。

この猛威にメールサーバの運用側も手を止めているわけではありません。
様々な仕組みが導入されています。

その一つにドメイン認証という方式があります。
これはメール発信元サーバのドメインを確認して正規のサーバかを確認する仕組みです。
中でもDMARCという方式はかなり導入が進んでいますので、今後は多少なりともフィッシングメールが減る可能性があります。
このドメイン認証はサーバ側で導入する機能ですから、利用者側は何もしなくても構いません。

とはいえ、DMARCを始めとするドメイン認証にも限界があります。
ドメイン認証で正しさを確認するのは、発信元のドメイン確認までです。そのメール内容には一切チェックが入りません。
ドメイン認証はあくまでメールアドレスの正しさを保証するだけで、内容の正しさの判断は結局、人間が行わなければなりません。

面倒な話ですが、利用者側もフィッシングメールの知識を持たなければ対抗が難しい時代になっているのです。
筆者としては、これがAIの進化によって覆されることを待ち望んでいます。

今回は、フィッシングメール最前線として、フィッシング対策協議会の月次レポートのご紹介をしました。

次回もお楽しみに。

（本稿は 2024年1月に作成しました）