今週のセキュリティニュース - 2025年6月13日

証券口座への不正アクセスと不正取引の問題を受け、証券各社は多要素認証の必須化を進めています。しかし、その多要素認証も突破される恐れがあると朝日新聞が報じています。

多要素認証として使用されるワンタイムパスワードは、ブルートフォース攻撃（総当たり攻撃）などには一定の効果が見られますが、フィッシング対策としては万能ではありません。例えば、ユーザーが偽サイトに入力してしまった情報を攻撃者が即座に入手、リアルタイムで正規のサイトに悪用するリアルタイムフィッシングは防ぐことができない場合があります。

安易にメールやSMSのリンクはクリックしない、よりフィッシング耐性の高い認証方式や追加のセキュリティ対策を組み合わせるなど、複数の対策を併用することも重要だと考えられます。

フィッシング対策協議会の技術・制度検討ワーキンググループは6月3日、「フィッシングレポート 2025」を公開しました。

このレポートによると、2024年のフィッシング情報の届け出件数やフィッシングサイトのURL件数が2023年に比べて著しく増加していることがわかります。また、攻撃者は利用者が興味を引きそうな文面のメールを送信したり、QRコードを利用するなど手口を巧妙化させていると言います。

フィッシング報告件数は依然として高い水準にあります。被害を未然に防ぐためには、普段からフィッシング詐欺で行われている手法に関する情報を収集することが対策の一つとして推奨されます。

米国の大手テクノロジー系ニュースメディアであるCNETの最新調査によると、アメリカ人の96％が毎週何らかの詐欺メッセージ（メール、電話、テキスト）を受け取っていることが明らかになりました。

CNETの記者は、個人情報の流出が日常的に起きている現状を指摘し、多くの人が知らぬ間に被害に遭っている可能性があると警鐘を鳴らしています。流出した電話番号などの情報はダークウェブで売買され、詐欺の手口に悪用されます。

調査によると、米国成人の90％が週に1回以上詐欺メールを受け取り、そのうち37％は10件以上受け取っています。また、83％が電話、82％がテキスト、60％がSNSでの詐欺メッセージを経験しています。こうした現状から、日常的に詐欺のリスクにさらされていることが分かり、私たち一人ひとりに対策の意識が求められています。

「迷惑メールは解除すればよい」と考えがちですが、専門家はメールに含まれる「配信停止リンク」を不用意にクリックすることの危険性を指摘しています。

脅威検出とウェブアクセス制御を提供するDNSFilterのCTOによると、商用メールに含まれる配信停止リンクのうち、約644回に1回は、悪意のあるサイトへ誘導される可能性があるといいます。メールクライアント上では一見安全に見えても、リンクをクリックした瞬間に不正な外部サイトへリダイレクトされるリスクがあるのです。

さらに、たとえ直接的な被害がなかったとしても、クリックするだけで「このメールアドレスは有効で利用されている」と攻撃者に知られてしまい、今後より巧妙なフィッシングやマルウェア攻撃の標的にされる恐れがあります。安易なクリックが思わぬ被害を招くこともあるため、注意が必要です。