ごめんな・・・・もう君達ではフィッシング詐欺を防げないんだ・・・・

絶望的なタイトルから始まりましたが、残念ながら大半の人にとって事実です。
厳密に言えば、「防ぐことが相当に難しくなった」ということです。
セキュリティのプロとして、ここは一旦伝えないといけないということで書きます。個人を対象に書きますが、法人の担当者も原則同じです。
結構長いんですが、読んで欲しいです。

なぜ個人が狙われるのか？

「自分みたいな一般人が狙われるわけない」と思っていませんか？
ところが、多くの攻撃者は「数撃てば当たる」戦法で、不特定多数へ一斉にフィッシングメールを送ったり、SNS上で偽アカウントを利用したメッセージをばらまいたりしています。特定の個人を執拗に狙わなくても、ほんの一部の人が引っかかれば十分に利益を上げられるからです。

クレジットカード情報やログイン情報が盗まれれば、それを悪用して不正利用したり、闇市場で転売したりできます。あなたの個人情報にも「お金になる価値」があるのです。企業相手なら、直接的に大金を脅し取ったりできますね。

よく言われるフィッシングメール・偽サイトの特徴

1. 公式サイトそっくりなデザイン・URL

Amazonや銀行、クレジットカード会社、携帯キャリアなど有名サービスのロゴやデザインを真似て、本物そっくりのログイン画面を用意します。
URLは微妙に違っていても、一見ではわからないことが多いです。
例：`amozon.com`や`yah00.co.jp`など、文字を入れ替えた偽サイト

2. 不自然な日本語や曖昧なメッセージ

翻訳ツールで作られたような不自然な文章や、具体的な問題点を指摘せず「すぐにログインが必要です」と急かすパターンがあります。

3. 個人情報をすぐに入力させようとする

「アカウントがロックされました」「セキュリティ強化のため確認が必要です」などと不安を煽り、即座にID・パスワードやクレジットカード情報を入力させようとします。

よく言われる個人ができるフィッシング対策

1. リンクを不用意にクリックしない

2. パスワード使い回しをやめる

3. 二要素認証(2FA)を有効にする

4. アドレスバーを必ず確認

5. 定期的なセキュリティアップデート

最新の攻撃は、そんなもんじゃ防げない！

はい。ここから本筋に入っていきます。

先に挙げられていた対策、要はアドレスを確認して強力なパスワードを使う。みたいな話です。

さて、その知識を持って以下のメールを受け取ったときどう判断しますか？

本物にしか見えないメール

ロゴが本物で、日本語にも不自然な点がありません。
どう見ても本物の注文情報です。ただし、買った覚えもなく、住所も変です。だからこそ、逆に確認したくなってボタンを押してしまいます。特に焦らせたりはしません。「あれ？」と思わせればいいのです。ロゴとかが本物なんだから。

次にボタンのURLを見ると以下のようになっていました。
(ボタンのURLを見るには何パターンかありますが、PCならカーソルを当ててみる、スマホなら長めにタップしてみるとか)

https://amazon.com.service.jp/encoding=UTF8&pd_rd_w=XeDcS&content-id=amzn1.sym.bcc66df3-c2cc-4242-967e-174aec86af7a%3Aamzn1.symc.a9cb614c-616d-4684-840d-556cb89e228d&pf_rd_p=bcc66df3-c2cc-4242-967e-174aec86af7a&pf_rd_r=ZVDJSVKK5ZF4H6VW4C86&pd_rd_wg=

amazon.comとURLに入っていますが、とうぜんこれは偽物です。comの後ろにservice.jpがついています。このservice.jpがアクセス先の本当のURLで、ここが攻撃者が待ち構えているURLになっています。
こういうアドレスは簡単に作れますが、URLの仕組みを知らない人から見たらamazon.comが入っているのでまず信じるでしょう。ちなみに、後ろの意味不明なアルファベットの羅列は商品情報などで、本物のAmazonでもこんな感じの文字列が付与されます。

ボタンを押すと何が起こるか？

「注文内容を確認する」を押すと、次はこんな画面が出ます。
本物のログイン画面ですね。でも当然偽物です。
ブラウザでURLを確認しても「https://amazon.com.service.jp/」が表示されます。amazonが正しく入っています。service.jpがあるので偽物ですけど。

本物にしか見えないログイン画面

ここで正しいID/PWDを入力すると、次は二要素認証の画面が出ます。
これも本物とほぼ同じ画面が出てきます。そして驚くべきことに、本物のAmazonからSMSが届きます。

本物にしか見えない二要素認証画面

とどいた認証コードを、この画面に入力すると・・・・その先は何が起こるかは攻撃者次第です。本物っぽい更に出ることもあれば、急にエラーして終わることもあるでしょう。
ただし、ここで認証コードを送った時点で攻撃者はあなたのアカウントにログインしています。

いったいどうやって！！！！！

攻撃者は情報を中継している

答えは簡単です。攻撃者は、ユーザが入力した情報を一旦受け取り、それを使って本物のサービスに正しくアクセスしようとしているからです。
だからこそ、本物の認証コードが届くのです。

そして、この攻撃を喰らうとどんなに複雑なパスワードも二要素認証も全く意味を持ちません。自分が正しいパスワードを入力しているからです。

中継の流れ

③と④がポイントです。攻撃者が用意した画面に入力した情報は、攻撃者が自由に閲覧できます。これにより、正しいID/PWD、認証コードが攻撃者の手に渡ります。

で、結局何が言いたいのか

【詐欺はより巧妙になるし、頻度が増える】です。この手法自体はだいぶ前からあるのですが、今回言いたいのは急激な完成度の向上と頻度の増加です。

ここ3ヶ月でこういった攻撃は一気に完成度が上がりました。
「AIが本格的に登場したから」です。
これまで日本語が怪しかったり、画面が雑だったりしたのは「海外から犯罪者から見た時に日本語が難しく、日本人を騙せるほどに本物を真似ることがなかなかできなかった、日本人が攻撃環境を整えるにもコストが高かったから」です。
AIがその環境を劇的に変えました。

AIを使うことにより、日本語はより自然に翻訳が可能になり、違和感がなくなりました。画面も一瞬で作り、サービスを世界に公開できます。

現在、我々エンジニア界隈はAIの波に押し流されています。
「詐欺の本格度を高めるための工数がほぼ０になった」ため、攻撃はより高精度なものになっています。

こちらをご覧ください。先ほど貼っていたAmazonの偽のログイン画面を作っているところです。なんとあの本物にしか見えない画面はたった二言で作られています。

AIのLovableというサービスに「Amazonのログイン画面を作って」と一言言ったらこれが出ます。ボタンなども動きます。

Amazonのログイン画面を作ったところ

二要素認証の画面だって一言言えば作れます。

Amazonの二要素認証画面を作っているところ

攻撃の起点となったメールはChatGPTが作ってくれました。

ChatGPTが攻撃メールを作っているところ

「教育目的で」とか言ってますが、攻撃者としては関係ありません。英語で出して言えば、英語で出ます。

たった数分で、「画面」と「メール」が完成しました。
ここからはよりエンジニアリングの世界に入りますが、今の最新ツールを使うと1時間とかからずに、「ID/PWDなどを窃取する中間サーバを用意し」「画面をイジってサーバと接続」することができます。（私は37分でできました）

つまり、AIの登場によってこれだけクオリティの高い詐欺環境を数時間で全部用意できる。しかも無料で可能。そんな世界が来てしまったために、知識のない一般人は見抜くことができません。ということです。

こういったフィッシングに対して素人ができることはたった一つです。逆に、これだけやれば基本的には大丈夫です。

利用中のサービスを騙ったメールやSMSが来たら、Webブラウザでそのサービスを検索して使いましょう。メール内のボタンとかを使ってはいけません。
このようなフィッシングへの対策はこれが一番正確で手っ取り早いです。

まとめ

AIの登場は、確実に世界を前に進めるでしょう。
しかし、世界に居るのは善人だけではありません。

当然人を騙そうとする悪人もその恩恵に預かるということです。

今、詐欺のコストが下がっています。

くれぐれもご注意ください。
悲しいことに、こういった最新技術を最初に使いこなすのは大抵の場合軍隊と犯罪者です。

※マン・イン・ザ・ミドルとも言われる攻撃です。フィッシングメールを起点に攻撃を仕掛ける例を紹介しました。一般の人にわかりやすいように簡略化しています。
※マン・イン・ザ・ブラウザやセッションジャックなど別の手法は今回の対策方法では防げません。

「どうやって自衛したらいいか」なども当組織ではレクチャーしているので、セキュリティが不安な法人様はお気軽にご連絡ください。