2020年は、二要素認証突破を狙うフィッシング詐欺、ECサイトの改ざん、さまざまな機器の脆弱性を悪用した攻撃、AIの技術を悪用したネット詐欺などのサイバー攻撃が予想されています。また、テレワーク環境のセキュリティの不備を突く攻撃のリスクも高まるでしょう。東京オリンピック・パラリンピック開催を控える2020年、私たちが注意すべきセキュリティの脅威と対策を紹介します。
二要素認証突破を狙うフィッシング詐欺の増加
二要素認証(二段階認証とも呼ばれる)は、IDとパスワードに加えてワンタイムパスワードなどによる追加の認証を行うログイン方法で、第三者による不正利用を防ぐ手段としてネットバンキングやクラウドサービス、ECサイトなどで導入されています。しかし、二要素認証を突破しようとするフィッシング詐欺が2019年9月以降増加しています。たとえば、偽のメールやSMS(ショートメッセージサービス)のメッセージからフィッシングサイトに誘導する手口が用いられています。そのため、スマホからフィッシングサイトにアクセスしてしまう利用者が増加傾向にあり、SMSを悪用したフィッシング詐欺の手口は2020年も続くと予想されます。
図:国内ネットバンキングの二要素認証突破を狙うフィッシングサイトのドメイン数推移
(トレンドマイクロ調べ)
図:不正サイトへ誘導された国内モバイル利用者数推移(トレンドマイクロ調べ)
一方で、スマホのセキュリティアプリ利用率はパソコンに比べて低く、そのことが被害拡大の一因になっているとも言えます。フィッシング詐欺の手口は年々巧妙化しており、送られてくるメッセージや誘導先のWebサイトを一見しただけでは、真偽の判断が難しくなっています。フィッシング詐欺による被害を防ぐためには、最新の手口を知っておくことが重要です。スマホにもパソコンと同様、セキュリティアプリをインストールし、常に最新の状態に保ちましょう。