情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. 情報セキュリティ安心相談窓口
  4. 情報セキュリティ安心相談窓口公開レポート
  5. 情報セキュリティ安心相談窓口の相談状況[2023年第4四半期(10月~12月)]

情報セキュリティ安心相談窓口の相談状況[2023年第4四半期(10月~12月)]

公開日:2024年1月23日

独立行政法人情報処理推進機構
セキュリティセンター

目次

  1. 相談件数
  2. 主な手口における相談員の対応件数
  3. 相談事例

情報セキュリティ安心相談窓口の相談状況

1.相談件数

1-1.相談件数の推移

今四半期の「情報セキュリティ安心相談窓口」における、相談対応件数は3,176件でした。前四半期から約46.9%増となっています。

  • 図1:相談件数の推移

相談件数の推移

  • 2022年10月~12月:合計 2,397、 電話 2,007、 電子メール 260、 FAX・手紙 5、 SMS 81、 アウトリーチ 44
    2023年1月~3月:合計 2,630、 電話 2,205、 電子メール 298、 FAX・手紙 6、 SMS 96、 アウトリーチ 25
    2023年4月~6月:合計 2,955、 電話 2,536、 電子メール 314、 FAX・手紙 10、 SMS 81、 アウトリーチ 14
    2023年7月~9月:合計 2,162、 電話 1,846、 電子メール 244、 FAX・手紙 13、 SMS 43、 アウトリーチ 16
    2023年10月~12月:合計 3,176、 電話 2,719、 電子メール 297、 FAX・手紙 14、 SMS 128、 アウトリーチ 18

    SMS(脚注1)、アウトリーチ(脚注2)

1-2.相談件数の前年対比推移

今四半期の相談対応件数は、前年同四半期比では約32.5%増となっています。

  • 図2:相談件数の推移(前年同四半期比)

相談件数の推移(前年同四半期比)

  • 第1四半期:2022年 2,716、 2023年 2,630
    第2四半期:2022年 2,026、 2023年 2,955
    第3四半期:2022年 2,262、 2023年 2,162
    第4四半期:2022年 2,397、 2023年 3,176

1-3.主体別の相談件数推移

今四半期の「情報セキュリティ安心相談窓口」における、主体別の相談対応件数は、個人は2,852件、法人は113件、教育・研究・公的機関は67件、不明は144件でした。

  • 図3:主体別の相談件数推移

主体別の相談件数推移

  • 2022年10月~12月:合計 2,397、 個人 1,966、 法人 128、 教育・研究・公的機関 84、 不明 219
    2023年1月~3月:合計 2,630、 個人 2,206、 法人 122、 教育・研究・公的機関 83、 不明 219
    2023年4月~6月:合計 2,955、 個人 2,529、 法人 111、 教育・研究・公的機関 97、 不明 218
    2023年7月~9月:合計 2,162、 個人 1,927、 法人 81、 教育・研究・公的機関 61、 不明 93
    2023年10月~12月:合計 3,176、 個人 2,852、 法人 113、 教育・研究・公的機関 67、 不明 144

2.主な手口における相談員の対応件数

今四半期の「情報セキュリティ安心相談窓口」における、主な手口別相談件数は、相談件数の多い手口の順に「ウイルス検出の偽警告」に関する相談は1,324件(構成比41.7%)が最も多く、続いて「宅配便業者・通信事業者・公的機関をかたる偽SMS」は165件(同5.2%)、「不正ログイン」は103件(同3.2%)、「暗号資産(仮想通貨)で金銭を要求する迷惑メール」は47件(同1.5%)、「ワンクリック請求」は34件(同1.1%)でした。

  • 図4:手口別相談件数

手口別相談件数のテキスト情報は2-1~2-5にてご確認ください。

2-1.「ウイルス検出の偽警告」に関する相談

今四半期はウイルスを検出したという偽警告で不安を煽り、電話をかけさせてサポート契約に誘導する「ウイルス検出の偽警告(脚注3)」に関する相談が前四半期から約2.1倍の1,324件寄せられました。

  • 図5:「ウイルス検出の偽警告」相談件数の推移

「ウイルス検出の偽警告」相談件数の推移

  • 2022年10月~12月:相談件数 761
    2023年1月~3月:相談件数 1,009
    2023年4月~6月:相談件数 1,191
    2023年7月~9月:相談件数 621
    2023年10月~12月:相談件数 1,324

2-2.「宅配便業者・通信事業者・公的機関をかたる偽SMS」に関する相談

今四半期は「宅配便業者・通信事業者・公的機関をかたる偽SMS(脚注4)」に関する相談が前四半期から約75.5%増の165件寄せられました。

  • 図6:「宅配便業者・通信事業者・公的機関をかたる偽SMS」相談件数の推移

「宅配便業者・通信事業者・公的機関をかたる偽SMS」相談件数の推移

  • 2022年10月~12月:合計 306、Android 202、iOS 70、その他・不明 34
    2023年1月~3月:合計 228、Android 151、iOS 44、その他・不明 33
    2023年4月~6月:合計 186、Android 134、iOS 27、その他・不明 25
    2023年7月~9月:合計 94、Android 66、iOS 19、その他・不明 9
    2023年10月~12月:合計 165、Android 102、iOS 49、その他・不明 14

2-3.「不正ログイン」に関する相談

今四半期は「不正ログイン(脚注5)」に関する相談が前四半期から約16.9%減の103件寄せられました。

  • 図7:「不正ログイン」相談件数の推移

「不正ログイン」相談件数の推移

  • 2022年10月~12月:相談件数 62
    2023年1月~3月:相談件数 74
    2023年4月~6月:相談件数 100
    2023年7月~9月:相談件数 124
    2023年10月~12月:相談件数 103

2-4.「暗号資産(仮想通貨)で金銭を要求する迷惑メール」に関する相談

今四半期は「暗号資産(仮想通貨)で金銭を要求する迷惑メール(脚注6)」に関する相談が前四半期から約2.9倍の47件寄せられました。

  • 図8:「暗号資産(仮想通貨)で金銭を要求する迷惑メール」相談件数の推移

「暗号資産(仮想通貨)で金銭を要求する迷惑メール」相談件数の推移

  • 2022年10月~12月:相談件数 28
    2023年1月~3月:相談件数 30
    2023年4月~6月:相談件数 46
    2023年7月~9月:相談件数 16
    2023年10月~12月:相談件数 47

2-5.「ワンクリック請求」に関する相談

今四半期は「ワンクリック請求(脚注7)」に関する相談が前四半期から約13.3%増の34件寄せられました。

  • 図9:「ワンクリック請求」相談件数の推移

「ワンクリック請求」相談件数の推移

  • 2022年10月~12月:相談件数 39
    2023年1月~3月:相談件数 21
    2023年4月~6月:相談件数 24
    2023年7月~9月:相談件数 30
    2023年10月~12月:相談件数 34

3.相談事例

今四半期のうち相談窓口に寄せられた相談事例を紹介します。

相談事例1 自社ウェブサイトを改ざんされ偽ECサイトへリダイレクトする踏み台にされた被害

  • 自社のウェブサイトを改ざんされた。
  • CMS(Contents Management System)にウイルス駆除用のプラグインを入れて対処を行ったが、自社サイトのドメイン名を検索すると依然として多数の偽サイトが表示される。
回答(対処)
  • 貴社のドメインを「site:ドメイン名」のキーワードで検索したところ、多数の不審な検索結果が表示されました。
  • 検索結果には、貴社ウェブサイトのURLに加えて、偽ECサイトの商品情報や価格情報が表示されており、リンクをクリックすると、検索結果の表示とは異なるURLの偽ECサイトにリダイレクトされました。
  • リダイレクト先のURLは貴社ウェブサイトからのレスポンスに含まれていました。このように、貴社のウェブサイトを踏み台にして偽ECサイトに誘導する状況が続いていると見受けられます。(最終的には相談者側で対処が行われてリダイレクトが停止した)
  • ウェブサイトで使用しているCMS、その他のソフトウェアに既知の脆弱性がないかを確認してください。また、CMSへの不審なログインが発生していないかをログから確認してください。
  • これらの対応を貴社で実施するのは困難な場合は、セキュリティベンダーに依頼することをご検討ください。

(参考)

サイト改ざんの被害にあわないための対策
  • 一般消費者が欲しい商品を検索すると、相談事例1のような形で改ざんされたウェブサイトのドメイン名を含むリンクが上位に表示される場合があります。リンクをクリックすると偽ECサイトにリダイレクトされてしまいます。このように、自社のウェブサイトが偽ECサイトなどにリダイレクトするための踏み台として悪用されてしまうことがあります。

    こうした被害にあわないためには、下記の対策を行う必要があります。
  • ウェブサイトで使用しているCMSやソフトウェアに既知の脆弱性がないかを定期的に確認して更新を行う。
  • ウェブサイトに不審なファイルが設置されていないかを定期的に確認する。
  • ウェブサイトへのログイン履歴に不審なものがないかを定期的に確認する。
  • ウェブサイトの構築を外部に委託する場合、上記の定期点検を自社と委託先のどちらで行うかの検討をする。
  • CMSの管理者パスワードを「長く」「複雑」なものにする、加えて多要素認証の導入を検討する。
  • 脆弱性を悪用した攻撃のリスクを下げるために、WAF(Web Application Firewall)の導入を検討する。

(参考)

相談事例2 自社をかたる不審なメールの発信

  • 過去に弊社からお客様へ送った文面が記載された不審なメールが届いた。発信元は、弊社が使用していないoutlook.comのメールアドレスでした。
  • パソコンのウイルス感染を疑い、セキュリティ対策ソフトでスキャンを実施しましたがウイルスは検知しませんでした。
回答(対処)
  • いただいたメールのヘッダー情報を確認したところ、当該メールはoutlook.comのメールアドレスから、ディスプレイネームを貴社と同じ名前に偽装して送信したものと思われます。貴社のメールアカウントへの不正ログインや、ウイルス感染によるものではないと考えられます。
  • 発信元のメールプロバイダーにabuse(不正なメール送信)の報告が可能な場合は、メールプロバイダーへの報告をご検討ください。並行して、自社のウェブサイトなどで、不審なメールを受け取る可能性がある関係者への注意喚起をご検討ください。
なりすましメール送信への対策
  • 本事例では、送信元メールアドレス(Header-From、Envelope-From)の偽装は行われていませんでした。
    この場合はメールの送信ドメイン認証(SPF/DKIM/DMARC)を使用しても、攻撃者が指定した宛先になりすましメールが届くことを防止できません。そのため、回答に示すような対処の手順を事前に定めておくことが考えられます。

相談事例3 偽のセキュリティ警告(サポート詐欺)からネットバンキングの不正送金をされた被害

  • 偽のセキュリティ警告に表示された番号に電話をしてパソコンを遠隔操作されてしまい、サポート代金として19,800円を請求された。
  • ネットバンキングを使っているかと聞かれたので「利用している」と答えたところ、代金を振り込むように言われたため、遠隔操作がつながった状態のままログインして指示された口座に送金を行った。
  • 後で口座の残高を調べたら、1,980,000円が送金されていた。なぜこのような送金ができたのか?
  • 警察に被害届を出し、銀行にも連絡している。
回答(対処)
  • 遠隔操作中にネットバンキングにログインすると、送金額を入力する画面が相手にも見えてしまいます。また、相手がキー入力を行って送金額を書き換えることも可能となります。
  • そのため、ワンタイムパスワードの入力画面に進む直前に、相手が送金額に0(ゼロ)を2つ追加した可能性があります。
  • 金銭的な被害については、引き続き警察や銀行に相談を行ってください。
  • 遠隔操作をされたパソコンについては、Windowsのシステムの復元を行い、遠隔操作をされる前の状態に戻すことをお勧めします。

(参考)

サポート詐欺の被害にあわないための対策

サポート詐欺の手口では、金銭の詐取方法として、コンビニエンスストアでプリペイドカードの購入を求めるのが一般的ですが、2023年初頭から、ネットバンキングからの送金ができるかを尋ねる事例が報告されています。ネットバンキングサービスでは、ログイン認証に加えて、送金時のワンタイムパスワードなどで不正送金に対する多重のセキュリティ対策を行っていますが、遠隔操作を悪用されると本事例が示すように画面を見られることでセキュリティ対策を無力化されてしまう危険があります。

こうした被害にあわないためには、第一に、電話をかけさせようとするセキュリティ警告は「偽物」であることを知り、電話をしないことです。偽の警告が表示された場合は、下記の「偽のセキュリティ警告に表示された番号に電話をかけないで」や「偽セキュリティ警告(サポート詐欺)対策特集ページ」に示す方法に従って、画面を閉じるだけで問題ありません。
加えて、信頼できない相手に遠隔操作を許可することは、さまざまなリスクを伴うことを認識してください。

(参考)

相談事例4  偽SMSのフィッシングから不正送金されたと思われる被害

  • ネットバンキングから、200万円弱の資金を知らない間に送金された。
  • その半月ほど前に、ネットバンク口座がある銀行を騙った「口座凍結」のSMSが来た。
  • SMSからフィッシングサイトにアクセスして、ネットバンキングのIDとパスワードを入力したかは、日数が経過しており当時の記憶が定かでない。
回答(対処)
  • 「口座凍結」を騙る偽SMSのリンクから誘導されたフィッシングサイトに、ネットバンキングのIDとログインパスワードを入力してしまった可能性があります。
  • 不正送金を行うためには、ネットバンキングのID/パスワードに加えて、送金時のワンタイムパスワードを窃取する必要がありますが、ワンタイムパスワードの窃取がどのようにして行われたかは、いただいたご相談内容からは不明です。
  • 二次被害の発生を防ぐために、ネットバンキングと同じパスワードを使っているサイトやサービスがある場合、念のためにそれらのパスワードを変更してください。
フィッシングの被害にあわないための対策

不審なメールやSMSに記載されたURLをクリック・タップすると、利用しているサービスのウェブサイトを巧妙にコピーしたフィッシングサイト(偽サイト)に誘導されることがあります。偽サイトに入力させられた情報は攻撃者に渡ってしまいます。そのため、偽サイトにIDとパスワードを入力してしまうと、当該サービスに不正ログインされさまざまな被害につながる可能性があります。

不審なメールやSMSを受信して本物かどうか判断に迷った場合は、公式サイトなどの確かな情報源を使って確認してください。真偽がはっきりしないメールやSMSについては、下記の対応をしてください。

  • 添付ファイルを開かない。
  • 記載のURLからウェブサイトにアクセスしない。
  • 記載の電話番号に電話をしない。
  • 返信しない。

(参考)

  1. 脚注1
    ウイルスや不正アクセスに関する技術的な相談に関して、SMSによる携帯電話への情報提供
  2. 脚注2
    Q&Aサイトへの回答書き込み。本レポート公開時点では「Yahoo!知恵袋」 のみ
  3. 脚注3
    ウイルス検出の偽警告
  4. 脚注4
    宅配便業者・通信事業者・公的機関をかたる偽SMS
  5. 脚注5
    各種インターネットサービス(SNS、ショッピングサイト、クラウドサービス等)において、第三者にIDおよびパスワードを不正利用されたことに関する相談。
  6. 脚注6
    性的な映像をばらまくと恐喝し、仮想通貨で金銭を要求する迷惑メールに注意
  7. 脚注7
    ワンクリック請求の手口に引き続き注意

お問い合わせ先

IPAセキュリティセンター 情報セキュリティ安心相談窓口

更新履歴

  • 2024年1月23日

    掲載