午前7時のしなもんぶろぐ

駆け出しのセキュリティエンジニア、しなもんのぶろぐ。

フィッシング対策協議会が「2020/02 フィッシング報告状況」を公開! 依然報告数は高水準!

セキュリティ フィッシング フィッシング対策協議会 公開資料 APWG

こんにちは!

しなもんです。

 

さて、3/3 にフィッシング対策協議会が「2020/02 フィッシング報告状況」を公開しました。

 

果たして 2月の報告状況はどうだったのでしょうか。増えた? 減った?

 

早速見てみましょう。

 

www.antiphishing.jp

 

 フィッシング報告件数

 報告件数は、2019年12月にピークを迎えた後、1月に少しだけ下がっていた (ただし、お正月の影響で減っていただけという見方あり) ところでしたが……

 

f:id:am7cinnamon:20200309223008p:plain

出典:フィッシング対策協議会 2020/02 フィッシング報告状況

 1月と比べると 1,000 件程度増加しました。

 

それでも昨年 10~12月に比べれば落ち着いているように見えますが、大前提として、2月はそもそも 1年で最も短く、29日 (今年はうるう年) しかありません。

 

30~31日あったと仮定すると 8,000 件前後で、ほとんど変わらない水準が続いていることになります。

 

フィッシングサイトの URL 件数

 先月も、「報告件数は減ったものの URL 数はむしろ増えた、喜んでばかりいられない」という意味のことを書いたのですが……

 

f:id:am7cinnamon:20200309223757p:plain

出典:フィッシング対策協議会 2020/02 フィッシング報告状況

なんとドカンと 600 件以上増えました

 

先月同様、短時間で誘導先の URL を次々と変えるフィッシングの報告が多かったと分析されています。

 

フィッシングを行う犯罪者も、対策されにくいように工夫してきているのかもしれません。

 

フィッシングに悪用されたブランド件数

 悪用されたブランドの数についても大勢は変わりません。高い水準のままです。

 

f:id:am7cinnamon:20200309224227p:plain

出典:フィッシング対策協議会 2020/02 フィッシング報告状況

年が明けてもフィッシング詐欺の様子は変わらず活発であるということが、報告件数・URL 件数・ブランド件数の 3 指標から読み取れます。

 

 フィッシングは誰もが狙われる、被害者になり得るサイバー犯罪です。

 

引き続き警戒が必要です。

 

おまけ:APWG の 2019年第 4 四半期レポート

 フィッシングは詐欺であって、それゆえ言葉や文化的背景に影響される側面が大きく、あまり国外の状況を参考にできない*1のですが、たまには世界の動向も紹介しておきましょう。

 

日本でのデータとは違う部分も多いですが、それだけに新鮮です。

 

世界のフィッシング*2に関する情報を収集分析し、企業等への助言や教育も行う組織として、APWG (Anti Phishing Working Group) があります。

 

apwg.org

APWG では、四半期ごとにレポート (英語) を公開しています。

 

今回は、2/24 (現地時間) に公開された 2019年第 4 四半期 (10月~12月) のレポートをご紹介します。

 

 全世界でのフィッシングサイトの数

f:id:am7cinnamon:20200311003800p:plain

出典:APWG Phishing Activity Trends Report 4th Quarter 2019

日本におけるフィッシング対策協議会の集計とは異なり、APWG のデータでは 11月~ 12月はフィッシングサイトの数が減ったそうです*3

 

 理由はよくわかりませんが、顕著に違う傾向が出るのは興味深いですね。

 

狙われやすいサービス

f:id:am7cinnamon:20200311004703p:plain

出典:APWG Phishing Activity Trends Report 4th Quarter 2019

 

 日本国内ではフィッシングと言えばオンラインバンキングや通販などの「直接金銭的被害が出る」サービスが狙われると強調されることが多いような気がしますが (しなもんの感想です。実際にはフィッシング対策協議会の緊急情報などを見ていただければわかるように、他のサービスも攻撃されています)、世界レベルではSaaS*4/Web メール」が最大の標的となっていたことがわかります。

 

第 1~第 3 四半期においてもこの傾向は同様でした*5

 

金融系・決済サービスも合わせれば 4 割近くにのぼり、かなりの部分を占めています。

 

通販やクラウドストレージは比較的少なめですね。

 

 HTTPS に対応したフィッシングサイトの割合

HTTPS (HTTP over TLS) は、Web サイトを表示するブラウザ*6と Web サーバの間で、暗号化して通信を行う仕組みです。

 

暗号化されているというと何となく安全そうな気がしますが、とんでもない!!

 

通信している相手がフィッシングサイト、つまり犯罪者ということがあるのです。

 

参考:危ないサイトを見破るのはこんなに難しい

am7cinnamon.hatenablog.com

何年か前まではここまでひどくなかったようなのですけどね……

 

それを端的に表しているのが次のグラフです。

f:id:am7cinnamon:20200311011244p:plain

出典:APWG Phishing Activity Trends Report 4th Quarter 2019

もう、一目瞭然!!!

2016年ごろまではほとんどなかった HTTPS 対応のフィッシングサイトがみるみる増え、今やなんと 70% 越え

 

世界のフィッシングサイトの実に 3/4 は HTTPS 対応なのです!

 

HTTPS 化するための証明書の取得自体は難しくないのですが、手間がかからないわけではありません。その手前をかけても元が取れるほど、HTTPS 化が被害者を騙すうえで効果があると犯罪者には認知されているのかもしれません。

 

フィッシング対策協議会のデータを見る限り日本国内ではここまでではありませんが、HTTPS 化が騙しに有効なら、近い将来に国内でもこのような状況になってもおかしくありません。

 

数年前の常識なのか、「詐欺サイト・危険サイトの大部分は HTTPS じゃないから、鍵マークが出れば安心」と主張する識者 (?) は未だにいますが、上のグラフをご覧いただければ誰でもわかるように、今や危ないサイトは HTTPS が標準装備みたいなものです。

 

決して惑わされないでください!

 

まとめ

  • フィッシング報告件数は微減も、2月が短かったことを考えると、同水準
  • フィッシングサイト (URL) の数はむしろ増加傾向
  • 世界レベルでフィッシングに立ち向かう組織として、APWG が活動している

 

相変わらず国内のフィッシング詐欺の活動は活発そのものです……。

 

上手に情報を収集し、被害を受けないように立ち回りましょう。

 

*1:極端な例ですが、バンク・オブ・アメリカを騙る英語のフィッシングメールが来たとして、どんなに精巧でも多くの日本人は引っかからないでしょう。逆もそうで、みずほ銀行楽天を騙る日本語のフィッシングメールが日本語話者でない外国人に届いたとして、被害を受ける人はかなりまれだと推測されます。

*2:ただ、APWG の定義する「フィッシング」と、いつも私たちが使っている「フィッシング」とは、指し示す範囲が一緒ではないらしいので、データの安易な比較はできません。

*3:「フィッシング」の定義に差があることに注意してください。日本でフィッシングと言えば、巧妙に騙して被害者自ら情報を入力させる手口ですが、APWG の定義ではもっと技術的なもの (例えばマルウェアによるもの) を含んでいるようです。

*4:クラウドサービスの提供形態の一つで、Software as a Service (サービスとしてのソフトウェア) の略です。サービスがソフトウェアのレベル (プラットフォームやインフラのレベルではなく) で提供される、最も利用者の自由度が低い形態です。

*5:ご関心をお持ちの方は "Phishing Activity Trends Reports" の "Legacy Reports" をご参照ください。

*6:Web サイトを表示するのに使うソフトウェアのことです。Microsoft EdgeInternet ExplorerGoogle ChromeMozilla Firefox などがあります。