サイバー保険ガイドColumn

サイバー攻撃、情報漏洩のリスクに備えるための情報発信コラム

2023.7.14 サイバー攻撃

横行するフィッシング詐欺。なりすまし偽サイトを防ぐ企業の対策方法とは?

横行するフィッシングサイト詐欺。なりすまし偽サイトを防ぐ企業の対策方法とは?

キャッシュレス決済などの新しい決済の普及とともに、フィッシングサイトの被害報告が年々増え続けているのをご存知でしょうか。
フィッシングに騙されない注意喚起も必要ですが、偽サイトを作られてしまう企業側もフィッシング被害を防止するための適切な措置を講じることで、サイトの信用を高め自社のサービスを利用しているお客様(以下、サービス利用者)からの信頼・安心を得ることができます。
本記事では、フィッシングの基礎知識を過去事例と交えて解説しながら、企業が行うべき対策や対処方法も紹介します。

フィッシングとは?

フィッシングは、エサで魚を釣り上げるように情報を盗もうとするところから、「fishing(魚釣り)」の「f」を「ph」に置き換えてつくられた造語で、サイバー攻撃の一種です。

実在するECサイトやサービス提供会社等のサイトに見せかけた偽サイトを作り、そのサイトのお知らせメールを装い偽サイトへメール誘導します。
ID・パスワード等のアカウント情報や、ATMの暗証番号、クレジットカード番号を入力させて、金融情報や個人情報を不正に入手する行為が、最も多い手口です。
最近では新型コロナウイルスに関連して厚生労働省や特別定額給付金に関する連絡を偽装するケースも発生しています

フィッシングの一般的な手口
フィッシングの一般的な手口の流れ
図表参照:フィッシング対策協議会より

フィッシングのさまざまな手法

フィッシングはさまざまな経路から狙われます。具体的な経路の4つを紹介します。
  • メールによるフィッシング
  • マルウェアによるフィッシング
  • SMSによるフィッシング(スミッシング)
  • 電話によるフィッシング(ビッシング)

メールによるフィッシング

メールによるフィッシングはフィッシングの中で最も一般的な手法です。実在する企業や団体になりすまして、リンクが貼られたメールを送付する手法です。
メールに貼られたリンクをクリックしてしまうと攻撃者が作成したフィッシングサイトに飛ばされてしまいます。
フィッシングサイトは実在するサイトを模倣したものであるため、サービス利用者は気づかずにログイン情報や個人情報、クレジットカード情報などの重要情報を入力し悪用されてしまいます。

マルウェアによるフィッシング

マルウェアはコンピューターウイルスなど、サービス利用者に不利益をもたらす悪意のあるプログラムやソフトウェアを表す総称です。
マルウェアによるフィッシングもよく使われるフィッシング手法のひとつです。
履歴書や銀行関連の資料など、信頼性のあるファイルに偽装したマルウェアをメールに添付し送り込むという手法です。
マルウェアが含まれるファイルを開くと、マルウェアを作成した攻撃者に情報を抜き取られ、場合によってはシステム全体が停止に陥ります。

SMSやダイレクトメッセージによるフィッシング(スミッシング)

スミッシング(smishing)は、SMSとフィッシングの2単語を組み合わせた造語です。スミッシングは信頼性の高い金融機関やEC企業を装い、SMSやSNSのダイレクトメッセージを使ってテキストメッセージを送る手法です。
宅配便の不在通知を装ったものや携帯電話会社を装ったものや、キャッシュレス決済が不正利用されるケースも発生しています。
未納料金があると偽り指定した電話番号への連絡を求め、要求に従わない場合は法的措置をとることをほのめかし心理的なプレッシャーをかけ、架空の未納料金を請求して送金を促すのがよくある手口です。

電話によるフィッシング(ビッシング)

ビッシング(vishing)は「声」を意味するvoiceとフィッシングの2単語を組み合わせた造語で、音声でフィッシングを行う手法です。電話番号を見ただけでは偽物かどうかの判別が難しく、時には詐欺目的のコールセンターを使っているケースもあるため、詐欺に気づくのが難しいこともあります。
多くの場合、攻撃者は偽のサイトに誘導させ、クレジットカード番号などの重要情報を盗んだり、アプリの形をしたマルウェアをインストールさせ情報を抜き取ります。

企業におけるフィッシング詐欺の被害とは

こういったフィッシングによる消費者の被害が増えると共に、EC系サイト、クレジットカード会社、プロバイダー、保険会社などの金融機関など、ブランド名を悪用された被害企業も増加しています。

フィッシング対策協議会に寄せられた悪用されたブランド件数は、2023年6月には107件となりました。

フィッシングに悪用されたブランド件数推移
フィッシングに悪用されたブランド件数推移
図表参照:フィッシング対策協議会より

分野別では、クレジット・信販系約42.5%、配送系約18.1%、EC系約15.8%、金融系11.3%、オンラインサービス系約4.0%、交通系約3.0% となり、クレジット・信販系と配送系のなりすましが増加しているそうです。

では、顧客であるサービス利用者がフィッシング詐欺の被害にあった際、サービスを展開している企業側はどのような被害を受けるのかについてご紹介します。

サービス利用者からの信頼喪失

基本的には、企業側は情報が抜き取られるといった直接的な被害はありません。
しかし自社の過失が実際にあったのかどうかにかかわらず、自社が展開するサイトを利用する際に不安を感じてしまい、サービス利用者からの信用が損なわれるなどといった間接的な被害が生じてしまいます。

サービス利用者に対する損害補償

サービス提供者に一切過失がなかったとしても、サービス利用者に対する補償が必要なケースがあります。
銀行では、2008年2月19日(火)に一般社団法人全国銀行協会より公表されている申し合わせ「預金等の不正な払戻しへの対応について」に沿ってサービス利用者がインターネットバンキングで不正利用の被害を受けた場合は補償を行うとしていますが、サービス利用者(被害者)に過失があった場合は適用されないケースもあります。

企業が行うべきフィッシング対策

商品やサービスを提供する企業は、フィッシング被害を拡大させないために、以下の5つの対策をとることが重要です。
なお、本記事ではフィッシング対策に焦点を当てているため、マルウェアやウイルスなどの対策やサーバー・ネットワークセキュリティなどについては言及しておりませんのでご注意ください。

サービス利用者に送付するメールは「なりすましメール対策」を行う

送信元アドレスの偽称検知と、送り主の身元証明、配信途中の改ざん検知ができるように設定します。
具体的には外部送信用のメールサーバーに対して、SPF(Sender Policy Framework)とDKIM(Domain Keys Identified Mail)という機能を入れます。 SPFとは、送信者のドメインを利用したなりすましメッセージを阻止する機能、DKIMは第三者が電子メール内のデータを改ざんしていないことを確認するための機能です。
電子メールの暗号化は、S/MIME(Secure / Multipurpose Internet Mail Extensions)を採用します。さらにDMARC(Domain-based Message Authentication, Reporting & Conformance)を活用し、受信制御ポリシーにて受信を拒否する「reject」を設定し、フィッシングメールをサービス利用者に届けないような設定を行います。
配信にSMSを利用する際は、国内の直接接続のSMS配信を利用することが一般的です。サービス利用者に対しては、事前にホームページなどで番号を告知する必要があります。

多要素認証を要求する

多要素認証とは、ID、パスワードによるログインだけでなく、ワンタイムパスワードや生体認証など複数の認証を組み合わせた認証方法です。特に商品の購入や資金の移動などの金銭のやりとりをする場合、操作直前に再認証や多要素認証を求めることが望まれます。
例えば、第1認証がID、パスワードでの認証の場合、第2認証はワンタイムパスワードをメールアドレスに送るなどといった対応を行うと良いでしょう。

ドメインは自己ブランドと認識して管理しサービス利用者に通知すること

Webサイトのドメイン名(例:○○.comなど)は、自社のブランドとして適切に管理し、サービス利用者に対して繰り返し示す必要があります。企業がドメイン名を発行する場合は、ドメイン名を管理する部門を一元化し、管理ルールや手順を社内で確立することが重要です。
各部門が各々でドメインを発行してしまい、ドメイン名が乱立してしまうと、セキュリティに欠ける運用となり危険です。

すべてのページにサーバー証明書を導入すること

Webサイトのページは、全てhttpsでアクセスできる状態にすべきだと言われています。httpsでのアクセスを実現するためにはサーバー証明書の導入が必要です。
Webページにサーバー証明書を導入することで、Webサイトが正式に特定の企業や組織が作成したことを証明することと、ページ間の通信が暗号化されるためセキュリティ性の担保につながります。

フィッシング詐欺についてサービス利用者に注意喚起すること

組織に応じた事前準備、枠割分担、連絡・レポート体制を明確化しておく必要があります。
運営するサイトの不正操作や不正取引によりサービス利用者に多大な被害を与えてしまうサービス、クレジットカードなどの発行を行っているサービスを展開している事業者は、紛失、盗難、事故の被害を報告できる24時間受付窓口を設置する必要があります。
フィッシング詐欺の発生有無に関わらず、企業はサービス利用者に対しフィッシング詐欺についてサービス利用者にWebサイト等で注意喚起することが重要です。

フィッシング詐欺が発生してしまったときの対処方法

自社のサービスのサービス利用者がフィッシング詐欺の被害にあった場合も想定することは大切です。具体的な対策についてはフィッシング対策協議会が公表している「フィッシング対策ガイドライン 2022年度版」をご参照ください。
フィッシング対策協議会「フィッシング対策ガイドライン 2022年度版」

万が一の事態に備えて保険の検討も忘れずに

攻撃者は企業のサイトに不正アクセスし、本体サイトを乗っ取るケースも少なくありません。
そして、こういったフィッシングや不正アクセスを伴う被害は、いくら厳重に対策を施していても被害がゼロになることはありません。
予想される被害額が大きい場合はサイバー保険や個人情報漏洩保険も検討してみてください。

▼サイバー保険・個人情報漏えい保険の詳細は、こちらの記事もご覧ください。
サイバー保険の必要性とは?必要な理由と個人情報漏洩保険との違いをプロが徹底解説

当サイトの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っています。
サイバー保険を扱う大手5社の保険料を無料で一括見積もり・比較いたします。

【取り扱いのある保険会社】
東京海上日動火災保険株式会社
三井住友海上火災保険株式会社
損害保険ジャパン株式会社
あいおいニッセイ同和損害保険株式会社
AIG損害保険株式会社

ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。

まとめ

フィッシングはサイバー攻撃の一種であり、クレジットカードや銀行などの重要な情報を搾取するために行われる手法です。
フィッシング詐欺の被害にあるとクレジットカードや銀行口座等の不正利用につながり、サービス利用者は直接的に金銭的な被害を受け、サービスを提供している企業は間接的な被害として信用の喪失や補償対応に陥ることが考えられます。
今回のフィッシング詐欺では企業は直接的な被害が発生しませんが、場合によってはサイバー攻撃を受けたときの企業の損害額が数千万~数億円規模にまでに上ります。
いざというときのための保険として、サイバー保険への加入を検討してみてはいかがでしょうか。検討する場合は、ぜひ一度弊社までご相談ください。

関連タグ

関連記事
ACCSS RANKING アクセスランキング
CATEGORY カテゴリ

運営会社について

ファーストプレイスは、
サイバー保険を扱うプロフェッショナルです

当社は2001年の創業以来、法人向けに企業の経営をサポートする保険のご提案を数多く行っております。
貴社の状況に合わせ、サイバー保険のご提案が可能です。まずはお問い合わせください。

運営会社について

pagetopへ