リアルタイムフィッシング詐欺とは？多要素認証を突破する最新手口と対策

リアルタイムフィッシング詐欺とは、攻撃者がユーザーから入力された認証情報を即座に盗み取り、その場で正規サイトへ不正ログインする手口です。ワンタイムパスワードなどの多要素認証すら突破できるため、2023年以降、インターネットバンキングの不正送金被害が過去最多を記録しています。

令和5年12月時点で、警察庁と金融庁が注意喚起を発出するほど被害が急増しました。多要素認証が普及しているにもかかわらず、なぜフィッシングサイトによる不正送金が増え続けているのでしょうか。

本コラムでは、従来のセキュリティ対策では防ぎきれないリアルタイムフィッシング詐欺の手口と、実践的な対策方法を解説します。

不正送金の発生状況

不正送金の発生状況は令和４年まで増減を繰り返しているものの、2,000件は超えない数字で推移していました。ところが令和５年は5,147件（令和5年12月8日時点における暫定値）と過去最多となっています。
また、被害額も平成27年の30.7億円が最高だったものが、令和5年は80億円を超え過去最高となっています。

（出典：金融庁　インターネットバンキングによる預金の不正送金事案が急増しています。）

被害の多くはフィッシングメールとフィッシングサイトによるものとみられています。
不正送金が急増していることは令和5年8月８日に警察庁と金融庁が注意喚起を発出しており、上半期（1月～6月）ですでに2,322件を超えていました。しかし、令和5年12月8日時点で5,147件であることから、注意喚起をしているにもかかわらず下半期はさらに増加していることがわかります。
フィッシングサイト、フィッシングメールは、企業側で対策を行うことが難しく、個人の対策に頼る部分が大きくあります。
企業側も多要素認証の導入で対策を行っていますが、2019年頃より増加しているリアルタイム型フィッシング詐欺の影響が大きく影響しています。

リアルタイムフィッシング詐欺の仕組み

リアルタイムフィッシング詐欺を理解するには、まずインターネットバンキングで採用されているワンタイムパスワード認証の仕組みを知る必要があります。

インターネットバンキングにおけるワンタイムパスワード認証

インターネットバンキングにおけるワンタイムパスワードは、キャッシュカードという物理的な媒体なく送金ができてしまうネットバンキングを、不正送金から守るための対策であり、重要な操作を行う際に追加の認証情報を求める仕組みです。

インターネットバンキングの利用者が、ログイン後、重要な操作を行う際に追加の認証情報が求められます。追加の認証情報は専用アプリケーションを利用したり、SMSであらかじめ指定された電話番号に届きます。この認証情報は、専用のトークンであったり、正規の電話番号が設定されたスマートフォンなど、そのひとしか持っていないはずの「所有要素」をもとに守られています。

重要な操作とは、出金（振込）、ワンタイムパスワードやログイン通知の送信先である電話番号、メールアドレスなどの変更があげられます。 ログインIDとパスワードがセキュリティの入口対策とすると、ワンタイムパスワードは出口対策となります。

ワンタイムパスワードは1分程度の短期間しか有効ではない期間限定のパスワードであるため、たとえ漏えいしても問題ないはずのものでした。

ワンタイムパスワードを突破する手口

リアルタイムフィッシング詐欺の最大の特徴は「中間者攻撃」です。攻撃者はユーザーと正規サイトの間に入り込み、やり取りをリアルタイムで中継します。有効期限が1分程度しかないワンタイムパスワードも、入力された瞬間に窃取して即座に使用することで、多要素認証を突破できるのです。

ターゲットとなるインターネットバンキングの利用者とのやり取りをリアルタイムに行い、1分程度しか有効期限のないワンタイムパスワードも含めて窃取することにより、不正な操作を行うことがリアルタイムフィッシング詐欺です。

手口は、通常のフィッシングサイトと同様に、利用者に正規サイトになりすましたフィッシングサイトにログインさせIDとパスワードを窃取します。
その後、利用者にはワンタイムパスワードの入力を求めるフィッシングサイトを表示させます。攻撃者はその裏で窃取したログインIDとパスワードをリアルタイムに正規サイトに入力、不正にログインし、必要な操作（振込や設定内容変更）を行います。
SMSでワンタイムパスワードを送信させるシステムであれば、送信依頼の処理を行い、正規のワンタイムパスワードを利用者宛てに送信させます。
利用者がフィッシングサイトに表示されたワンタイムパスワードを求める表示に応じて、専用アプリで発行したり、正規サイトから送信されたワンタイムパスワードをフィッシングサイトに入力してしまうことにより、ワンタイムパスワードを窃取されてしまいます。

このように、ログインID、パスワード用のフィッシングサイトと、ワンタイムパスワード用のフィッシングサイトを用いる方法がリアルタイムフィッシング詐欺です。2023年以降の不正送金事案の多くは、この手口が原因と考えられています。従来のフィッシング対策では防げないため、新たな対応が求められています。

対策

ひと昔前のフィッシングメールやフィッシングサイトは、日本語の言い回しや文字化けなど違和感があるものでした。しかし、現在のリアルタイムフィッシングで使用される偽サイトは正規のWebサイトの見た目を忠実に再現しており、見た目だけでは判断できません。

ドメイン名の確認

フィッシングサイトは正規のサイトに似たURLを使用します。これは仕組み上サブドメインが簡単に作成できてしまうためです。

例えば、ALSOKのコーポレートサイトはhttps://www.alsok.co.jpです。
当社はalsok.co.jpの前に好きな文字を追加できます。この文字をサブドメインといいます。
以下のようにドメイン名の前にexampleという文字列を追加することができます。

しかし、仮にexample.co.jpというドメインを所有する企業があったと仮定するとhttps://www.example.co.jpというURLに勝手にalsokという文字列を追加してhttps://www.alsok.example.co.jpというURLを作成することが仕組み上簡単にできてしまいます。

重要なポイントは、トップレベルドメインや、セカンドレベルドメインの前の文字に注目することです。
サブドメインの部分に見慣れた企業の名前があったとしても、そのURLが正規のドメインであるとは限らないため注意が必要です。

正規ルートでアクセスする

インターネットバンキングやオンライン証券など、大きな資産を動かすシステムは専用のアプリケーションが用意されていることが多くあります。
日常的に専用アプリからアクセスしたり、公式Webサイトのトップページからアクセスするよう習慣づけるようにすることで、フィッシングサイトを避けることができます。
また、使用している銀行などのWebサイトでは、銀行側が使用するメールアドレスのドメインや、WebサイトのURLを公開し、それ以外は詐欺の可能性がある旨を表示していますので、一度確認しておくと良いでしょう。

判断力が落ちているタイミングは操作しない

フィッシングメールは深夜に送信されることがあります。
これは、寝起きの判断力が落ちているタイミングを狙っていたり、サポート窓口が閉じているタイミングを狙っていることが挙げられます。
攻撃者は、狙った相手に対して緊急事態や重要な情報があると連絡し、冷静な判断が難しい状況を作り出します。
飲酒時など正常な判断ができないときには重要なシステムの操作を行わないようにしましょう。

日ごろからの訓練

フィッシングメールは、標的型攻撃メールと異なり万人に当てはまる内容を不特定多数に送信されます。日ごろから標的型攻撃メールの訓練をしておくことでフィッシングメールに対する対策となります。
ALSOKではご担当者様の負担を最小限にしたメール訓練のサービスを実施しております。
効果的かつ手軽な対策をお考えであれば、お気軽にお問い合わせください。

まとめ