フィッシング詐欺に関する調査を行っているフィッシング対策協議会が、フィッシングの被害状況などをまとめた「フィッシングレポート 2018」を6月4日公開しました。
今年のフィッシング詐欺の特長として、銀行に対する攻撃は減少していますが、クレジットカード会社を狙った攻撃が増加しているそうです。
銀行は一定時間しか利用できないワンタイムパスワードの導入や、モニタリングでの監視など対策が進んでおり、不正送金が大幅に減りました。
一方で、仮想通貨の不正送金が増加し始めており、新たな課題が生まれています。
クレジットカード会社の攻撃は、特にフィッシングによる暗証番号盗用が非常に増えており、被害額は去年の2倍近くに上りました。
原因は大手インターネット関連製品メーカーを語るフィッシングが大量発生したためとのことですが、もしかしたら楽天あたりでしょうか。
今回のレポートの注目は、httpsに対応したフィッシングサイトの存在です。
2017年からhttps化したフィッシングサイトが増えており、全体の15%以上がSSLサーバ証明書を発行していたそうです。
https化については以前も書きましたので、こちらもよければ確認してみてください。
SSL証明書の種類と用途
フィッシングサイトに用いられているのは、一番発行が簡単なドメイン認証証明書です。
ドメイン認証証明書は個人向けのSSL証明なので、企業ならOV証明書かEV証明書を発行していてしかるべきです。
しかし、一般ユーザーには見分けがつかない人が多いため、啓蒙活動が必要ということでした。
SSL化はそのサイトが安全な証明ではありますが、そのサイトに合った内容か確認しなければ意味がない、ということですね。
皆様も十分お気を付けください。