メールや SMS は、私たちの生活に欠かせないコミュニケーションツールだ。それだけに、サイバー犯罪者、あるいは特殊詐欺を仕掛ける犯罪グループは、こうしたツールに着目し、偽サイトに誘導するフィッシングメールを悪用したり、時には電話など従来のメディアと組み合わせたりして、巧妙な罠を仕掛けてくる。
こうした状況に対し、安心してインターネットを利用できる世界を実現するには、通信事業者はもちろん、利用者、そして法律や制度を整備する各省庁など、幅広いステークホルダーが協力し合わなければならない。2023 年 11 月 6 日、7 日にわたって金沢で開催された「JPAAWG 6th General Meeting」では、警察庁と総務省の担当者が登壇し、官民連携の成果と重要性を確認するセッションが行われた。
●増加の一途を辿るフィッシング、複合的な対策を呼びかける警察庁
さまざまな対策や啓蒙・啓発にもかかわらず、残念ながらサイバー犯罪は増加の一途をたどっており、フィッシングはそんなサイバー犯罪のさまざまな場面で顔を出してくる。警察庁サイバー警察局サイバー企画課の青木 稔 氏は、サイバー空間をめぐる情勢を解説した。
「現在、フィッシング被害に伴うクレジットカードの不正利用やインターネットバンキングに関わる不正送金が急増しています」(青木氏)。さらに、ランサムウェアや国家を背景とするサイバー事案も相まって「サイバー空間における脅威は極めて深刻な情勢」だという。
フィッシング対策協議会のレポートによると、2023 年上半期のフィッシング報告件数は前年に比べ約 8 万件増加し、53 万件に至っている。フィッシングを介して誘導されるサイトには色々なものがあるが、やはりクレジットカード情報やインターネットバンキングのログインID やパスワード等を窃取する目的のものが多い。こうして盗み取られたクレジットカード情報が悪用される不正利用の被害額も増加しており、「2021 年以降、オレオレ詐欺や架空料金請求詐欺などのいわゆる特殊詐欺の被害総額よりも多い状況になっています」(青木氏)
また、インターネットバンキングを悪用した不正送金についても、件数、被害額ともに増加傾向が続いており、2023 年は上半期だけで前年を上回り「過去最悪」となった。
青木氏は、フィッシングメールには「『利用制限』『利用停止』といった文言を用いたり、あるいは『不正を検知しました』『いつまでに回答してください』と取引内容の確認を求める内容などが記され、不安を煽って本人確認を求め、情報を窃取する手口が多く報告されています」と指摘した。そして「かつては日本語の表記におかしな表現があり、偽メールではないかと疑えることもありましたが、最近は攻撃者側も巧妙になっており、非常に見分けがつきづらくなっています」と警告した。
こうした状況に、どのように対処していくべきだろうか。警察庁では事業者向け、利用者向けそれぞれに対策をまとめている。
そもそもフィッシング攻撃は、「攻撃者によるフィッシングサイトの立ち上げ・フィッシングメールの送信・誘導したサイトでの情報窃取・その情報を悪用した不正送金などの実行」という具合に、いくつかのフェーズに分かれて行われる。
これを踏まえて青木氏は、フェーズごとに手口を踏まえた対策を検討してほしいとした。「フィッシングサイトの立ち上げの段階では、継続的にフィッシングサイトを調査してテイクダウンの対応をとれるよう体制を構築する。そしてフィッシングメールの送信を発見した段階では、早期に利用者に注意喚起を実施するといった具合に、早い段階から、また平素から対策を検討し、実施する必要があるでしょう」(青木氏)。また、万一利用者がフィッシングサイトに情報を入力してしまった場合に備え、不正利用に対するモニタリングの強化や認証の強化も必要だという。
いずれにせよ、「一つの対策をとったから大丈夫というわけではなく、複合的な対策を実施いただきたい」と呼びかけた。
●国際連携、官民連携の強化を通し、安心・安全な環境の実現を
犯罪抑止や被害防止にはサイバー犯罪者の検挙も重要だ。警察庁ではそのための体制を強化している。
まず 2022 年 4 月に警察庁内に「サイバー警察局」を、関東管区警察局に「サイバー特別捜査隊」を設置した。前者ではサイバー事案に関する情報収集や分析、対策、人材育成等に取り組み、後者は国家的・全国的規模で対処しなければならない重大サイバー事案について、各都道府県警や外国の捜査機関と連携しながら捜査にあたっている。
こうした体制は、功を奏し始めているようだ。例えば 2023 年 7 月には、フィッシングサイトを作成してクレジットカード番号を詐取するためのツール「16SHOP」を使用し、日本に向けてフィッシング行為を行っていたインドネシア人の男性が逮捕された。神奈川県内の男性が 16SHOP で盗まれたクレジットカード番号を不正利用し、物品を購入した事件を捜査する過程で運営者と実行犯が浮かび上がり、逮捕につながったもので、インドネシア国家警察だけでなく、インターポール、そしてサイバー特別捜査隊と大阪府警が連携し、国際共同捜査を展開していた。
「本件は、日本の捜査活動がフィッシング事犯に関する国外被疑者の検挙に結びついた初の事例であり、サイバー捜査隊の貢献が実を結んだ一例となります。サイバー特別捜査隊の設置により、海外の捜査当局との窓口が一本化され、協調が図れるようになった。今後は海外捜査機関との国際連携を一層進めていきたいと考えています」(青木氏)
続けて青木氏は、警察庁が実施しているフィッシング対策についても紹介した。
1.警告表示
ウイルス対策ソフトウェアのベンダーやフィルタリング事業者、APWG などと連携し、フィッシングサイトを含む偽サイトの URL情報を共有し、サイトを閲覧しようとしたユーザーに警告を表示するアプローチだ。元となる情報として、各都道府県警に寄せられた届出・相談情報等を活用している。
「5 年前に比べ情報提供件数は約 20 倍に増加している。今後も必要な対策と捉え、一層強化していきたいと考えています」(青木氏)
2.SIMスワップ対策
SIMスワップとは、携帯電話販売店において、偽造した本人確認書類を使い、他人になりすまして MNP(番号ポータビリティ)や SIMカードの再発行手続きを行い、携帯電話番号を乗っ取ってしまう手口だ。フィッシング等により、事前に個人情報を入手した被疑者は、乗っ取った携帯電話番号を用いることで SMS認証をクリアするなどし、不正送金などさらなる悪用に繋がってしまう。
「SIMスワップについては 2021 年ごろから発生が確認されていました。2022 年 9 月に総務省と連携し、携帯電話事業者に対して来店時の本人確認強化を依頼した結果、2023 年上半期以降は、SIMスワップによる不正送金被害はほとんど発生していません」と、対策が功を奏しているという。
こうした取り組みとともに、他の省庁や関係団体と連携した広報・啓発活動も進めている。
「フィッシングをはじめとするサイバー事案は、被害が潜在化し、捜査に着手できないと攻撃者の特定や手法の把握等ができず、次の被害を未然に防止する手立てを取るのが困難になる。仮に、サイバー攻撃などの被害に遭った場合には、速やかに警察や関係機関等へ通報、相談してほしいと思います」と呼びかけ、警察庁としても通報や相談がしやすい環境も整備していくとした。
最後に、
青木氏は「現在、キャッシュレス決済は社会基盤の一つとなっています。一方で、クレジットカードの不正利用やインターネットバンキングに関わる不正送金の被害は過去最多に迫っています。こうした被害手口の大半を占めるのがフィッシングであり、対策は急務です」とし、引き続き各省庁や官民の壁を越えて情報を共有しながら、安心・安全な環境の実現に取り組んでいくと強調した。
青木氏の講演資料は以下で公開しています。
https://meetings.jpaawg.org/wp-content/uploads/2023/11/B2-1_aoki.pdf
●特殊詐欺の増加を受け、メール・SMS と電話の両面で進む不適正利用対策
続けて「電気通信サービスの光と闇のうち、闇の部分に対処し、安心安全の確保に取り組む」ことに取り組み続けてきた総務省の小澤 孝洋 氏が講演を行った。
小澤氏は 2022 年の JPAAWG 5th General Meeting でも講演を行い、主に DMARC や迷惑メール対策に関する内容を中心に解説した。今回は少し毛色を変え、電話の不適正利用対策をはじめとする最近の取り組みを紹介した。
総務省では現在、サードパーティCookie の規制も含み通信の秘密と利用者情報の保護に関する「プライバシー保護」、権利侵害や誹謗中傷対策に関するルール作りを含む「違法・有害情報対策」、そして電話やメールの「不適正利用対策」の三本柱の政策に取り組んでいる。
このうち、小澤氏が中心に取り組んでいるのが三つ目の不適正利用対策だ。これまでは、迷惑メールやフィッシングメールといったメールの側面から触れられることが多かったが「最近は、電話とメールがクロスするようになっています」(小澤氏)という状況を背景に、電話に関しても対策を強化している。
背景には特殊詐欺の横行がある。青木氏が説明した通り、フィッシングをはじめとするサイバー犯罪も増加の一途にあるが、「特殊詐欺も非常に厳しい状態で、昨年一年間で約 370 億円の被害がありました。ほぼ一日あたり一億円の被害が生じている状況です」(小澤氏)
この特殊詐欺を行う犯罪者が使うのが電話だ。「高齢者にとって一番大きなタッチポイントは電話です。ただ最近は、メールや SMS から電話をかけさせる手口も増えており、電話の対策、メールの対策と分けていた今までのやり方だけではうまくいかないのではないかなと思っています」と小澤氏は述べた。
特殊詐欺に電話が悪用されるなら、その利用者を摘発すればいいではないかと思うところだが、実は「犯行ツールとのイタチごっこです。プリペイド携帯が悪用され、続いてレンタル携帯が使われ、さらに電話転送の手口が流行るという具合に、ツールがどんどん移り変わっている」(小澤氏)という。
総務省では 2006 年、いち早く「携帯電話不正利用防止法」を定め、プリペイド携帯、そしてレンタル携帯の悪用に対処してきた。また、マネーロンダリング対策である「犯罪収益移転防止法」でも、2013 年の改正において電話転送サービスを対象に追加している。いずれも、契約時の本人確認を義務付けることで、不適正利用のハードルを高くしてきた。
「本人確認という入り口で手を打ってきましたが、最近の手口はそれだけでは追いつかないところがあります。そこで、電話番号を持つ事業者と協力し、特殊詐欺に使われた電話番号そのものを止めてしまおうという利用停止措置も順次拡大しています」(小澤氏)
ただ残念ながら、特殊詐欺グループの中には犯行をエスカレートさせ、強盗にまで発展させるケースが現れた。「ルフィ」と名乗る特殊詐欺グループによる広域強盗事件は記憶に新しいところだろう。
事態を受けて政府は「緊急対策プラン」を策定。総務省もその方針を受け、闇バイトに対する注意喚起や、発信元電話番号を表示するナンバーディスプレイの無償化、050アプリ電話の契約時本人確認の義務化といった施策を、通信事業者とともに進めているところだ。さらに、先に触れた、悪質な電話転送事業者が在庫として持つ電話番号の利用停止措置も、一定の効果が見られるという。
ただ、他にもまだ手を打つべきところは残っているという。小澤氏は一例として、マイナンバーカードに格納された電子証明書を用いた本人確認、SMS機能付きデータ通信SIMカードの悪用対策などを挙げ、悪用の状況を注視しながら検討していくとした。
最後に行われた質疑応答の中では、マルウェアが仕込まれたスマートフォンから SMS がばら撒かれる可能性についても指摘された。これを受けて小澤氏は、通信の秘密などとのバランスは整理する必要があるとしながらも、「感染した端末回線の特定や警告、さらに踏み込んで自動規制などができるのかどうか、アイデアをいただきながら考えていきたいと思っています」と述べている。
●送信側の対策も進み、いよいよ機運が高まってきた DMARC
次に小澤氏は、迷惑メール対策の最近の動向についても紹介した。昨年も紹介した通り総務省では、通信事業者、サービスプロバイダーと連携しながら、迷惑メールやフィッシングメール対策に取り組んでいる。
柱の一つは、「特定電子メール法」に基づく迷惑メール対策だ。日本データ通信協会の下に設けられた迷惑メール相談センターには、迷惑メールに関する情報が 2022 年の一年間だけで約 1500 万件も寄せられた。そのうち約 950 万件に違反が認められ、特に悪質な事業者、約 7200 件については行政指導を行うなど、地道な活動を行っている。
そしてもう一つが、送信ドメイン認証、中でも DMARC の推進だ。「特にこの一年間は、警察庁の音頭で普及促進の機運が高まり、多くの省庁で送信ドメイン認証技術が認知されました。特に、なりすまされる側、送信側の対策が進んできたと感じています」(小澤氏)。質疑応答の中ではさらに、KDDI や NTTドコモといった通信事業者側での対応が広がっていることに触れ、さらにしっかり働きかけていきたいとした。
2022 年の消費者委員会が出した「フィッシング問題への取組に関する意見」、そして 2023 年 2 月に総務省が経済産業省、警察庁と連名でクレジットカード業界向けに出した要請といった動きを経て、DMARC対応の機運は高まってきた。NISC(内閣サイバーセキュリティセンター)がまとめる政府統一基準の中で DMARC が基本対策事項に含まれたことも、政府機関における対応を進める追い風となっている。
小澤氏はこうした歩みが進んでいることを紹介し、「もう少し裾野を広げていくとともに、今の時点では p=none となっている総務省の DAMRC のポリシーも、DMARCレポートをしっかり読み込んで p=reject に変えていけるよう取り組みたいと思います」と述べた。
それでも通信事業者の立場では、送信ドメイン認証技術と通信の秘密との兼ね合いを気にする声が根強い。小澤氏は憲法の趣旨に則りつつも、「基本的には、包括同意に当てはまれば問題ないという整理です。わからないことが何でも尋ねてください」とし、基本的にはどんどん対策を進めて欲しいと改めて呼びかけた。
さらに、迷惑メール対策推進協議会のような官民連携の場をもっと活性化させながら、引き続き安心安全の確保に取り組むとし、講演を締め括った。
