今どきのフィッシングは「レベルが違う」 私たちが引っ掛からないためにできること：金融ISAC座談会（1/2 ページ）

2023年の不正送金額は1〜6月の上半期だけで過去最多を記録した。フィッシング対策に向けて銀行はどのような取り組みをしているのか、また引っ掛からないために、消費者ができることは何か。

[宮田健，ITmedia]

　あなたがインターネットバンキングを利用しているとき、突然、振込などの取引を一時的に制限・遅延されたり、サービス利用を停止させられたりして困ったという経験はないだろうか。あるいは最近、銀行から“振込時間を制限します”や“限度額を強制的に引き下げます”などの連絡が来て、「不便なことするな」と思ったことがあるかもしれない。

　IT活用によって世の中は便利になっているが、それに逆行するこうした事態の裏には、やはりサイバー犯罪が関係している。上記の例は不正な送金が多発して多くの銀行がその対処に追われていたのが原因だ。

　金融機関におけるサイバー犯罪は私たちの資産そのものが狙われる重大なリスクだ。もはや犯罪者は成功率の低い銀行強盗などではなく、フィッシングといったサイバー犯罪へと主軸を移している。このような状況では個別の銀行がそれぞれに対策をしていては後手に回ってしまう。

　そこで金融機関は、業界内での情報共有や連携を図るための組織「金融ISAC」を立ち上げ、その中で横のつながりを作っている。今回、特に身近な犯罪である「フィッシング」に関して金融ISACのメンバーが座談会形式で情報共有する場に参加し、話を聞いた。

　参加銀行や参加者の名前は具体的に出せないメンバーもいるが、私たちの資産をメガバンクやネットバンクのセキュリティ担当者たち、そしてフィッシングハンターたちはどう守ろうとしているのか。現場の最前線で考えられていることを読者にも共有したいと思う。

「これまでとレベルが違う」　ユーザーが知るべき不正送金と最新攻撃の実態

　座談会では、はじめに金融ISACの岩本俊二氏（不正送金対策WG座長兼、PayPay銀行のIT本部副本部長　CSIRTリーダー）が不正送金の現状を語った。

　岩本氏によると、2023年は不正送金額が1〜6月の上半期だけで過去最多を記録する事態に追い込まれているという。被害額は約30億円であり、複数のインターネットバンキングでサービス制限が実施されたのは、正にこれが原因だ。岩本氏は「（こうした取り組みをしていても）フィッシングは止まりません。これまでとレベルが違います」と厳しい現状を語る。

2023年上半期の不正送金額は“異常”だ（出典：金融ISAC提供資料）

　従来は暗号資産業者などが不正送金の振込先の口座に悪用にされる傾向が強かったが、対策が進んだことでターゲットは「個人口座」や「法人口座」にも移行しつつある。攻撃手法は電子メールでのフィッシング、そしてSMSを利用したフィッシングである「スミッシング」が主だという。

　サイバー犯罪者はフィッシングにおいて偽の電子メールを送って口座情報を窃取しようとする。例えば最近、マネーロンダリング対策として取引目的を確認するという銀行の業務を装い、偽の確認作業メールを送る手口が見られる。

岩本俊二氏（金融ISAC　不正送金対策WG座長　兼　PayPay銀行　IT本部副本部長　CSIRTリーダー）

　「継続的顧客管理の中では顧客の氏名や住所、金融資産や年収などの情報を聞いています。これを装った偽の連絡にだまされてしまうと、犯罪者に重要情報を根こそぎ持っていかれてしまうわけです。その他、顧客の口座や入出金が制限されたことを装い連絡をしてきて、制限を解除するためには本人確認が必要だとし、個人情報を入力させるケースもあります」（岩本氏）

　これを聞くと「ここまで分かっているのになぜ引っ掛かってしまうのか」と考える読者もいるはずだ。しかし岩本氏によると、フィッシングサイトに誘導する電子メールの文面だけでも10数パターンあり“特定の文面が危ない”といった単純な注意喚起では周知が難しいという。

みずほフィナンシャルグループの八子浩之氏（サイバーセキュリティ統括部　サイバーレスポンスチーム　参事役）

　座談会メンバーであるみずほフィナンシャルグループの八子浩之氏は「他行の事例では、銀行の名前をかたった電子メールが送られてきますが、その先のフィッシングサイトではクレジットカード会社のものになっているケースも確認されています。個社単体での対応ではなく、ブランド全体での注意喚起などの対策が必要です」と話す。

　こうした悪質な電子メールの中には文面に制御文字が含まれていて、見た目は普通でも迷惑メールフィルターなどで検知されないように工夫をしているものもある。「Gmail」などではこれらは迷惑メールとして判定されることもあるが、他の電子メールサービスでは検知が低い場合もあり、利用者にとって注意が必要だ（もちろんGmailで検知されないケースもある）。

　その他、フィッシング以外にも、特に最近話題になっている「サポート詐欺」や「偽ショッピングサイト詐欺」にも警戒する必要がある。また、現在はキャッシュカードがなくても、スマートフォンで出金できるATM（セブン銀行の「スマホATM」機能）もあるが、スマートフォンにこの機能を不正にひも付けることによる不正出金被害が発生しており、この手法についても狙われ始めている。

　これらの犯罪に対して金融機関側は対策をしていないわけではない。金融機関として苦渋の対策としては、冒頭に取り上げたように「取引を遅らせる」という手段で対抗している。これは即時送金を実行するのではなく、翌営業日へと送金を遅らせたり、送金先口座の登録・変更後には24時間の送金保留を発生させたりすることで使い勝手を低下させるものだ。これによって、犯人側がすぐに金銭を手に入れるのを遅らせることで犯人側のモチベーションを低下させるだけでなく、銀行側のモニタリングの時間を稼ぐことで、不正な送金を防止できる。

　これに加えて、フィッシングサイトを24時間365日監視してテイクダウンしたり、送金のモニタリングを実施して、ルールも夜間含め機動的に変更したりしている銀行も多く存在している。

巧妙化する攻撃に対して消費者ができることはあるか？

　この現状を踏まえ、「消費者」にはできることは少ないのが実情だ。だが、その中でもできることとして座談会に参加したフィッシングハンターは「見分けない」ことを推奨する。

　「銀行は電子メールやSMSで何らかのサービスにログインを促したり、緊急の判断を求めたりすることはありません。消費者はこれらの誘導を全て無視するぐらいでちょうどいいでしょう。もちろん常に詐欺かもしれないという意識を持ち、脅威へのアンテナを張り続けることも必要です」（フィッシングハンター）

　その上で無視していいのか心配であれば窓口に問い合わせたり、公式HPで調べたコールセンターに電話したりするなど、情報が流れてきたルートとは異なる方法で処理する方法も有効だ。

　「正直、『不審な電子メールアドレスやフィッシングサイトに気を付けましょう』というのはもう難しいと言えます。正規であっても偽であっても、もはや『見分けない』ことが大事です」（フィッシングハンター）

フィッシングやスミッシングで利用者ができる対策（出典：金融ISAC提供資料）

　八子氏は「サービスなどにログインするときには、登録したブックマークから公式サイトにアクセスしてログインすることや、『公式アプリ』をインストールして、必ずそちらからログインすること、多要素認証などの銀行が推奨するセキュリティ対策を講じることが有効でしょう」と話す。

　その他の対策でいえば、例えば金融機関で使う電子メールアドレスを専用にするという手もある。普段は使っておらず表には出していない電子メールアドレスに変更することで、普段使っているメールボックスにやってくる金融機関からの電子メールは全てフィッシングだと判断できる。

　「フィッシングには誰もがだまされる可能性があります。疑わしい場合はまず、スクリーンショットを取って、知人や信頼できる人に相談することを推奨します。最近ではワンタイムパスワードとともに、振込先口座や金額などをセットで送信する銀行もあるので、それに“きちんと”目を通しておけば不正送金の拡大防止や停止につながるはずです」（フィッシングハンター）

　岩本氏によると、多くのフィッシングは無視できないような理由をでっち上げ、緊急の用件と見せかけることで、こちらの正常な判断力を奪ってくるという。だが、本当にそういった無視できない重要なお知らせは近年、サービスサイトやアプリに直接掲載されるケースが増えているということを消費者は覚えておくといいだろう。