およそ555億円――。2024年におけるクレジットカードの不正利用被害額だそうである。その背景には、フィッシング詐欺によるカード情報の盗用があげられ、実際、24年は170万件のフィッシング詐欺の報告がなされている(前年比50万件増)。
ひと昔前まで、フィッシング詐欺といえば、不自然な日本語のメール文面や明らかに怪しいURL、簡素すぎるサイトデザインなどにより、パソコン操作にさほど自信がない人でも「何かおかしい」と気づける程度の古典的な詐欺手口であった。しかし昨今、ウェブ上でのフィッシング詐欺の手口はどんどん巧妙化しており、見抜くのがかなり難しくなっている。
その背景には、技術の進化が悪用されている実態がある。正規サイトのHTMLやCSSといった設計図を丸ごとコピーし、見た目を完全に模倣する。あるいは、AIを用いて極めて自然な文章を生成したり、本物と見分けがつかない画像を作成したりする。こうして作り上げられた偽サイトが我々の油断を巧みに突いてくる。
もちろん、対策が講じられていないわけではない。ページコピーの痕跡などを手掛かりに、フィッシング詐欺サイトに共通する特徴についての研究もさまざま行われており、それこそAIを用いて不審なサイトを検知・ブロックするような対策も実装されている。しかし、詐欺を仕掛ける側もまた、AIの検知を回避するような新たな手法を開発したり、全く別の手口を編み出したりするため、後追いのイタチごっことなってしまっているのが現状だ。
ドロップキャッチの概要
こうしたサイバー犯罪を下支えする問題の一つに「ドロップキャッチ」という手法があげられる。ドロップキャッチとは、登録されていたドメイン名が更新されずに期限切れとなり、再び登録可能となった瞬間を狙って、第三者がそのドメイン名を登録(キャッチ)する行為のことである。平易に言うと、誰かが持っていた「インターネット上の住所」が空き家になった途端、別の誰かがその住所を素早く手に入れてしまうことだ。
「google.com」や「yahoo.co.jp」のような、個別のサイトを識別するためのURLの中核部分をドメイン名という。ドメイン名には通常年単位の使用期限があり、所有者は更新手続きを行うことで継続して利用できる。しかし、サービスの終了やサイトの閉鎖、あるいは単なる更新忘れといった理由により更新がなされず、ドメインが手放された状態になることがある。この瞬間を見計らって、専門の業者やプログラムを使い、一般の人が手動で登録するよりも早く、価値のあるドメインを横取りするのである。
