正規の「フォーム作成サービス」を悪用するフィッシング手口を解説

インターネットは、これまでも重要なインフラでした。現在、新型コロナウイルスの蔓延によってさらに多くの企業がテレワークに依存することにより、一層不可欠なインフラとなっています。一方、サイバー犯罪者もインターネットを利用して人々を攻撃します。その最も一般的な手段の1つがフィッシング詐欺です。フィッシング詐欺とは、実在する企業や組織に偽装した偽Webサイトを使って、個人情報やアカウント認証情報（IDやパスワードなど）、クレジットカード情報といった重要情報を詐取するネット詐欺のことです。これまで偽のWebサイト（フィッシングサイト）の構築には、サイバー犯罪者が用意した偽装ドメインを持つWebサイトが使用されてきました。また、正規のWebサイト作成サービスを悪用し、作成されているケースもありました。しかし最近では、より簡易な作成方法として、正規の「フォーム作成サービス」を悪用する手口が顕著になっています。

フォーム作成サービスは、わずか数分で入力フォームなどのページを作成することができる便利なツールです。当然のことながら、それら自体は悪意のあるものではなく、正規のサイトです。しかし、一般の利用者にとって便利なサービスは、ほとんどの場合、サイバー犯罪者にとっても便利なサービスとなってしまい、悪用される場合があります。これらのサービスを利用することにより、サイバー犯罪者は、プログラミングの知識がなくても数分以内でフィッシングサイト用の入力画面フォームを作成することができてしまいます。なお、ほとんどのフィッシング詐欺の手口で、フィッシングサイトへの誘導手段として電子メール（フィッシングメール）が利用されています。そのため、フィッシング詐欺を防ぐ手法としてメール受信段階での対策が重視されています。