ISP向けメールシステムの漏えい情報を悪用したフィッシングメールを確認、フィッシング対策協議会が注意喚起(INTERNET Watch)

ニュース概要

国内ISPから漏えいした認証情報（ID、メールアドレス、パスワードなど）を不正利用して送信されたとみられるフィッシングメールが確認されているとして、フィッシング対策協議会が緊急情報を公開した。フィッ

解説

インターネットを利用する上で、避けては通れないのが「フィッシング詐欺」。今回は、私たちが普段使っているインターネットサービスプロバイダー（ISP）から情報が漏れて、それがフィッシングメールに悪用されているという、ちょっと怖いお話です。

フィッシング対策協議会という、みんなのインターネット利用を安全にしてくれる団体が、緊急で注意を呼びかけています。その内容は、「国内のISPから漏れ出たIDやパスワード、メールアドレスといった情報が、悪者たちの手に渡って、それを駆使してフィッシングメールを送っているらしい」というもの。

普段、ISPから届くメールや、ISPが提供するサービスに関するメールって、なんとなく「信頼できるもの」だと思っていませんか？今回のケースは、その信頼の裏をかくような手口なんです。悪者たちは、ISPのシステムに不正に入り込み、そこで管理されていたユーザーの情報を盗み出した。そして、その情報を使って、あたかもISPから送られてきたかのように見せかけた偽のメール（フィッシングメール）を、私たちに送りつけているというわけです。

なぜISPの情報が狙われるのか？それは、ISPが多くの人の個人情報や、インターネットに接続するための大切な情報（認証情報）を握っているからです。その情報が手に入れば、悪者たちはそれを元に、さらに別のサービス（例えば、オンラインショッピングサイトや銀行のウェブサイトなど）への不正アクセスを試みたり、さらに多くのフィッシングメールを送ったりすることができてしまいます。

フィッシングメールが届くと、私たちは「あれ？これって本当かな？」と不安になりますよね。そして、メールに書かれたリンクをクリックして、偽のサイトにIDやパスワードを入力してしまうと、自分のアカウントが乗っ取られたり、金銭的な被害に遭ったりする可能性があります。今回は、ISPから漏れた情報が悪用されているという点で、より巧妙で、より危険性が高いと考えられます。

では、どうすればこの危険から身を守れるのでしょうか？まず、ISPからのメールだと思っても、安易にリンクをクリックしたり、個人情報を入力したりしないことが大切です。もし、メールの内容に心当たりがなかったり、少しでも怪しいと感じたりしたら、そのメールに返信したり、リンクをクリックしたりせず、ISPの公式サイトから問い合わせ窓口を探して、直接確認することが重要です。また、パスワードは使い回さず、定期的に変更することも、被害を最小限に抑えるための基本的な対策となります。ISPからの情報漏えいは、私たち一人ひとりが「もしも」に備える意識を高めるきっかけにもなります。

今後の予測

今回のISPからの情報漏えいを悪用したフィッシングメールは、今後も形を変えて続いていく可能性があります。悪者たちは、常に新しい手口を考え出し、私たちを騙そうとしてきます。ISP側もセキュリティ対策を強化していくでしょうが、完全に情報を守り切るのは非常に難しいのが現状です。

考えられるシナリオとしては、まずISPからの情報漏えいがさらに広がり、より多くのユーザーがフィッシングメールの標的になるというケースです。また、ISPの正規のメールシステムを乗っ取って、より巧妙なメールを送ってくる可能性も否定できません。

一方で、フィッシング対策協議会のような組織による注意喚起や、ISP各社が実施するセキュリティ教育の強化によって、ユーザーのリテラシーが向上し、被害が抑制されるというシナリオも考えられます。ISP側が、ユーザーに対して「怪しいメールの見分け方」や「パスワード管理の重要性」などを、より分かりやすく、繰り返し伝えることが重要になってくるでしょう。

さらに、AIなどの技術を活用して、フィッシングメールを自動で検知・ブロックするシステムの進化も期待されます。しかし、悪者たちもAIを悪用して、より人間らしい、より巧妙なフィッシングメールを作成してくる可能性もあり、いたちごっこが続くことも予想されます。最終的には、私たち一人ひとりが「疑うこと」を習慣づけ、常に最新の情報を得る努力を続けることが、最も確実な防御策と言えるでしょう。