「見分けるのはほぼ不可能」――NISA普及でフィッシング詐欺横行、対策急務に（3/5 ページ）

「フィッシング詐欺にあった覚えはない」と思っていても、そもそも気付くことが非常に難しい。その手口とは。

[斎藤健二，ITmedia]

詐欺手口の高度化と見分けることの困難さ

　「もはや詐欺サイトと正規サイトを見分けることは不可能になりつつある」――。トレンドマイクロの本野氏はこう警鐘を鳴らす。詐欺手口の巧妙化は、技術の進化とともに加速している。

　特に警戒すべきは「リアルタイムフィッシング」だ。多くの金融機関が導入している多要素認証を突破するため、詐欺師はリアルタイムで情報を詐取し、即座に悪用するシステムを構築している。

多要素認証を突破するリアルタイムフィッシングが横行

リアルタイムフィッシングの認証突破フロー

　具体的な流れはこうだ。まず、利用者がフィッシングサイトで本物だと思い込んでログイン情報を入力する。フィッシングサイト上では「確認中」という画面を表示させてユーザーを待機させる間に、詐欺師は盗んだ情報で本物の証券会社のサイトにログインする。そして、本物のサイトから送信される追加認証の情報を取得し、偽サイトにいる利用者に「追加認証が必要です」と表示して情報を入力させる。利用者が追加認証情報を入力すると、詐欺師はそれをリアルタイムで使って本物のサイトでの認証を完了させるのだ。

　「これまでセキュリティ対策の基本とされてきた多要素認証も、もはや完全な防御とはいえない状況になっている」と本野氏は指摘する。

　詐欺サイトの精巧さも進化し、かつてのようにURLや画面レイアウトの違いで見分けることは困難になっている。都市銀行を偽装したフィッシングサイトの中には、取引規制の解除を名目に情報を入力させ、電話認証やSMS認証を突破するリアルタイムフィッシングに対応しているものもある。

　被害に気付く期間も長期化しており、ECサイトからの情報漏えいでは平均2年9カ月もの時間がかかっている。被害発覚のきっかけも、ほとんどがクレジットカード会社や警察からの指摘によるものだ。