リアルタイムフィッシングとは?従来型とは全く異なる新たな脅威
最近、サイバーセキュリティの現場で深刻な問題となっているのが「リアルタイムフィッシング」です。私がCSIRTで対応してきた事案を振り返っても、この手法による被害は年々深刻化しています。
従来のフィッシング攻撃では、攻撃者は偽のWebサイトでIDやパスワードを盗み取り、後でそれを使って不正アクセスを試みていました。しかし、リアルタイムフィッシングは全く違います。
リアルタイムフィッシングの流れ:
- 攻撃者が偽のメールやSMSを送信
- 被害者がフィッシングサイトにアクセス
- 被害者がID・パスワード・2段階認証コードを入力
- 攻撃者が即座にその情報を使って本物のサイトにログイン
- リアルタイムで金銭を窃取
この「即座に」という部分が最も恐ろしいポイントです。従来なら2段階認証のワンタイムパスワードは短時間で無効になるため、ある程度の防御効果がありました。しかし、リアルタイムフィッシングでは、被害者が認証コードを入力すると同時に攻撃者がそれを悪用するため、時間的な猶予がありません。
過去5年で30倍増加という衝撃的な現実
横浜銀行のセキュリティ専門家によると、フィッシング攻撃は過去5年間で30倍に増加しています。これは私たちセキュリティ業界にとっても予想を上回る急激な増加です。
特に注目すべきは、従来ターゲットとされていた金融機関だけでなく、一般消費者向けWebサイトも標的になっていることです。
実際に私が関わった事案でも、以下のようなケースが増加しています:
- ECサイトでの不正購入(クレジットカード情報の窃取)
- オンラインバンキングでの不正送金
- 仮想通貨取引所での資産窃取
- SNSアカウントの乗っ取りによる二次被害
2段階認証が無力化される理由
これまで「2段階認証を設定しているから安心」と考えられてきましたが、リアルタイムフィッシングの前ではその常識が通用しません。
従来の2段階認証が破られる仕組み:
- 被害者がフィッシングサイトでIDとパスワードを入力
- フィッシングサイトが「2段階認証コードを入力してください」と表示
- 被害者が本物のサイトから送られてきた認証コードを入力
- 攻撃者がその認証コードを使って本物のサイトにログイン
このプロセスは数秒〜数十秒で完了するため、認証コードの有効期間内に悪用されてしまうのです。
私が最近対応した中小企業のケースでは、経理担当者がオンラインバンキングの偽サイトに誘導され、2段階認証まで突破されて約500万円の被害に遭いました。「2段階認証を設定していたのに、なぜ?」という経営者の声が今でも忘れられません。
パスキーが次世代の防御策となる理由
このような状況下で注目されているのが「パスキー」という新しい認証技術です。
パスキーの仕組み:
- スマートフォンやPCなどの機器に「鍵(認証情報)」を作成
- パスワード不要でログイン可能
- 生体認証(指紋・顔認証)と組み合わせることで高度なセキュリティを実現
- フィッシングサイトでは認証情報を盗めない仕組み
パスキーの最大の利点は、フィッシング耐性があることです。従来のパスワードや認証コードのような「入力する情報」ではないため、フィッシングサイトで窃取されることがありません。
日本証券業協会も「フィッシングに耐性のある多要素認証」としてパスキーの導入を推奨しており、金融業界では必須化が進んでいます。
個人・中小企業が今すぐできる対策
1. アンチウイルスソフト の活用
現在市販されているアンチウイルスソフト
の多くは、フィッシングサイト検出機能を強化しています。メール内のリンクや怪しいWebサイトへのアクセスを事前にブロックしてくれるため、被害を未然に防げます。
2. VPN による通信の保護
VPN
を利用することで、通信経路の暗号化と同時に、マルウェア配布サイトやフィッシングサイトへのアクセスをブロックできます。特に公衆Wi-Fi利用時のリスク軽減にも効果的です。
3. Webサイト運営者向けの対策
企業がWebサイトを運営している場合、Webサイト脆弱性診断サービス
を定期的に実施することで、自社サイトが攻撃の踏み台にされていないかチェックできます。
4. 従業員教育とフィッシング対策
リアルタイムフィッシングの手口を理解し、以下の点に注意することが重要です:
- メールやSMS内のリンクを安易にクリックしない
- ブックマークから直接公式サイトにアクセスする
- URLを必ず確認する(typo squatting対策)
- 緊急性を煽るメッセージに注意する
実際の被害事例から学ぶ教訓
私が対応した最近の事例をいくつかご紹介します(もちろん個人情報は匿名化しています)。
ケース1:個人事業主のECサイト被害
ある個人事業主が大手通販サイトを装ったフィッシングメールに引っかかり、クレジットカード情報と2段階認証コードを入力。30分後には複数の高額商品が不正購入されていました。
ケース2:中小企業の法人口座被害
経理担当者がオンラインバンキングの偽サイトで認証情報を入力。リアルタイムで第三者の口座に800万円が送金されました。銀行の不正検知システムが作動する前に実行されてしまったケースです。
これらの事例から分かるのは、従来のセキュリティ意識や対策では不十分だということです。
企業が顧客を守るために必要な「瞬時の対応」
Webサイトを運営する企業側としては、以下の対策が急務となっています:
- パスキー等の導入準備
- リアルタイム不正検知システムの強化
- 顧客への継続的な注意喚起
- インシデント対応体制の整備
特に金融サービスや個人情報を扱うWebサイトでは、従来の「事後対応」から「予防・即時対応」への転換が必要です。
まとめ:今後のフィッシング対策の方向性
リアルタイムフィッシングの急増は、サイバーセキュリティ業界にとって新たな挑戦です。従来の「パスワード+2段階認証」という組み合わせでは、もはや十分な防御ができない現実を受け入れる必要があります。
個人レベルでの対策:
- アンチウイルスソフト
による予防的な保護 - VPN
を活用した安全な通信環境の確保
- パスキー対応サービスの積極的な利用
- 継続的なセキュリティ意識の向上
企業レベルでの対策:
- Webサイト脆弱性診断サービス
による自社システムの安全性確保
- パスキー等の次世代認証技術の導入
- リアルタイム不正検知システムの構築
- 従業員への継続的なセキュリティ教育
フィッシング攻撃の高度化・巧妙化は今後も続くと予想されます。私たちセキュリティ従事者としても、常に最新の攻撃手法を把握し、それに対応した防御策を提案していく必要があります。
特に個人や中小企業の皆様には、「自分は大丈夫」という過信を捨て、適切なセキュリティ対策を講じることを強く推奨します。リアルタイムフィッシングの被害は一瞬で発生し、その損失は計り知れません。
