統計で見るフィッシングメール（383号）

今年はフィッシングメールに関する話題が多い一年でした。

筆者自身もセミナーなどの場面で「あやうく騙されるところだった」など、フィッシングメールの話は何度も出てきました。

2020年あたりから目立ち始めたフィッシングメールですが、今回は「フィッシング対策協議会」の月次レポートを元に、統計の視点でお話をします。


1. フィッシングメール

フィッシング詐欺などとも言われますが、人を騙して情報や金銭を入手しようという手法の一つで、主に電子メールを用いることからフィッシングメールと呼ばれます。

フィッシングメールの内容は様々ですが、よくあるのがトラブル系です。
・会費の支払いが滞っている
・不正利用されたので、口座を停止している
・荷物を配達したが不在だった

また、最近は「当たり」系（というのかな）のメールも目立つようです。
・ポイント特典を受け取ってください。
・あなたが当選しました。

いずれも、メールの内容は全くのウソなのですが、正規のメールを流用するなどして、いかにもホントであるかのような文面となっています。

以前は、日本語のおかしな文章が多く気付きやすかったのですが、最近は正規のメールを入手しそれを手直しするなど、一見ホンモノか!?と思わせるメールも増えており、だまされないようにするのも大変です。

フィッシングメールに書かれた内容は全くのウソですから、単に無視すればＯＫです。
どうしても不安であれば、問い合わせ窓口に電話をするのが無難です。

余談ですが、「フィッシング（phishing）」の語源は「（被害者を）釣る」→「fishing」→「phishing」となったとのこと。（諸説あります）
英語では"f"と"ph"の発音が同じところから隠語的な表現に使われるとか。
日本語でも「タダ」→「只」→「ロハ」とか、「Youtube」→「ようつべ」（ローマ字読み）といった言い回しがありますよね。

※用例が古すぎる＆マニアックすぎるので、もっとよい例をプリーズ。


2. フィッシング対策協議会

激増しているフィッシングメールですが、フィッシングメールの状況把握や対策研究を行っている団体さんで、「フィッシング対策協議会」というのがあります。

　フィッシング対策協議会
　https://www.antiphishing.jp/

全国の協力者（個人や会社）からのフィッシングメールを収集しており、フィッシングメールの一大集積所としての機能を果たしています。

あたりまえですが、フィッシング対策協議会といえど、全てのフィッシングメールを集めることはできません。あくまで協力者である個人や会社のメールアドレスに来たフィッシングメールをコレクションしているだけです。

日本国内のメールアドレスに届いたフィッシングメールの総数はとてつもない数のはずです。ですが、それが何億件なのか、何兆件なのかは知る術（すべ）がありません。

フィッシング対策協議会と言えど、魔法使いではないのですから。

それでも、フィッシング対策協議会に報告される毎月何万件ものフィッシングメールを利用して、統計的な傾向分析は行われており、かなり有用な情報と言えます。

今回は、このフィッシング対策協議会が毎月作成して公開している月次報告書を用いてフィッシングメールの状況をお伝えします。


3. フィッシングメールの増加

フィッシングメールは本当に増えているのでしょうか？
多くの皆さんが感覚的に「ここ数年ですごく増えている」とお考えだと思います。

事実、その通りで、フィッシング対策協議会に報告されるフィッシングメールは年々増え続けています。

特に2022年は、その前年（2021年）に比べて、報告件数がほぼ二倍（百万件弱）に増えており、2023年も2024年も増え続けています。

上述の「ここ数年ですごく増えている」を裏付ける証拠と言えます。

これだけ増えている理由は明らかです。
犯罪者側から見て「おいしい」から、言い換えれば「騙しやすくて儲かる」からです。

これだけ、フィッシング詐欺が一般化し、注意喚起も行われているにも関わらず減っていません。


4. 悪用されるブランド数は変わらない

フィッシング対策協議会では、フィッシングメールで使われているブランド数（悪用されているブランド数）も毎月集計しています。

ここで言うブランドとは「宅急便」「UFJ銀行」「Amazon」「えきねっと」といったメールの発信者を詐称するサービス名や会社名のことです。

これを見ますと、2017年あたりは月に20ブランド程度だったのが、2022年に100ブランドを越えるまでに増え続けました。
確かに、地方銀行などのフィッシングメールが増えたのは2021年や2022年頃だったように思います。

一時は120ブランド近くにまで増えたのですが、最近はむしろ減少傾向で、80ブランド程度になっています。

これは、騙す方から見てヒット率の高い（＝儲かる）ブランドに集約するようになったからではないかと思われます。

犯罪者にとっては名乗るサービス名や会社名はどうでもいいんですね。いかに効率良くひっかけるかの方が大切です。

そのため、サービス利用者の少ないブランド（これはこれで失礼な言い方だな）はフィッシングメールから排除される傾向が出てきたのかもしれません。


5. 本当に被害が拡がってるの？

上で、「フィッシングメールの件数が増えているということは犯罪者が騙しやすくて儲かるからだ」と書きました。

では、ホントに被害が大きくなっているのでしょうか？

今度は警察の昨年の統計情報です。

　https://www.npa.go.jp/bureau/cyber/pdf/20231225_press.pdf
　フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について（注意喚起）

冒頭に年別のフィッシング詐欺被害（と思われる）額が出ています。
2022年までは最大でも30億円程度だったのが、2023年はいきなり80億円を越えています。
件数も、それまでの2千件以下だったのがいきなりの5千件越えです。

フィッシング詐欺には、ID/パスワードの窃取を目的とするグループ、不正にログインして不正購入や不正送金を狙うグループとバリエーションがありますので、上記の額だけがフィッシング詐欺の被害というわけではありません。

ですが、警察の発表では、フィッシングによるネットバンキングでの不正送金が急激に増加しているとありますので、フィッシングの被害が増えていることは確かなのでしょう。


6. なぜフィッシング詐欺が減らないのか？

これは筆者の推測ですが、守る側の防禦スキルの向上より、騙す側の方の攻撃スキルの向上速度が上回っているということでしょう。

例えば、フィッシングメールの文面がそうです。
犯罪者側はGoogle翻訳などの正規の手法を駆使して文面の自然なものとし、本物の督促状や警告メールを入手するなどヒット率を上げる「努力」をしています。

一方で、一般の方のセキュリティ意識は決して高くありませんから、知識向上の速度は遅々たるものです。
これでは、差を付けられる一方で、被害が減らないのも納得です。

昔であれば、新聞やテレビで報道することで多くの人にお知らせができました。

ですが、現代では新聞はもちろん、テレビも以前ほどの神通力がありません。
一方のインターネットは便利な道具ですが、必ずしも一般的な情報告知に向いたツールとは言えません。
というのは、ブラウザも検索エンジンも今までのアクセス履歴などから興味のありそうなテーマが優先的に表示される仕組みとなっているからです。

余計な情報が出てこないのは利点ですが、逆に広くあまねく周知することは難しくなった気がします。


7. まとめ

ここ数年はフィッシングが増え続けてきています。

フィッシングメールが多くて困ってるという方も多いのではないかと思います。

実際に、フィッシング対策協議会の資料などを見ますと、2022年にはフィッシングメールの報告数（同協議会に報告のあったメールの数）が倍増しており、フィッシングメール自体もかなり増えたのではないかと思われています。

それに呼応するかのようにインターネットバンキングでの不正送金も増えており、フィッシングによる金銭的被害が出ている様子がわかります。

残念ながら、フィッシングメールを技術的に排除する方法は限られており、結局はメールを見る人の自衛に頼らざるを得ないのが現状です。

さらにやっかいなことに、フィッシングメールを作る側はいろいろと工夫をしてレベルアップを重ねているのですが、防禦側の意識や知識向上はさほど進んでいないことも問題です。

誰だって興味のないことに時間を割くのはイヤですもの。
とはいえ、被害を受けないためには、その辺の知識と意識は身に付けてもらうしかないわけです。

その推進方法となると、筆者ごときにどうにかできる話ではありません。
ホントどうすりゃいいんでしょうね？

最後にフィッシングメールは要は詐欺だ、って話をしておきます。

詐欺対策で、昔から言われている言葉があります。

「世の中、うまい話はない」

これ、最強ですよね。
冒頭に書いた「当選しました」系のメールなんてモロにこれですね。

フィッシングメール臭いのが来たら、「ホントか？」と考えて深呼吸しましょう。
ちょっと冷静になって考えれば、フィッシングメールなんて穴だらけなんですから。

「世の中、うまい話はない」

次回もお楽しみに。

（この記事は2024年12月に執筆しました）