2020年12月23日 / 最終更新日 : 2021年11月1日 azumi セキュリティ

フィッシング詐欺への効果的な対策とは?(サービス事業者編)


フィッシング詐欺への効果的な対策とは?(サービス事業者編)

近年フィッシング詐欺の被害が拡大しています。フィッシング詐欺は詐欺を受けたユーザーだけではなく、偽メールや偽サイトとして企業名を使用されたサービス事業者も信用を失い、経営悪化を引き起こしてしまう可能性が非常に高くなります。そこで今回は、サービス事業者のフィッシング詐欺への効果的な対策を解説します。

フィッシング詐欺の手口

フィッシング詐欺の手口は、まず詐欺を実行するためにユーザー層が使用していると思われるサービス事業者の偽サイトを本物そっくりに作ります。そして、偽サイトのリンク先URLを載せた偽メールをユーザー層に対して大量に発信します。

偽メールを本物と勘違いして偽サイトにアクセスしてきたユーザーから、個人情報や銀行口座情報、クレジットカード情報、パスワードなどの重要な情報を巧みに入手して悪用します。

増加するフィッシング詐欺被害

最近のフィッシング詐欺の傾向として注目すべき点は、日本語の表現が完璧な偽メールや偽サイトに進化してきたという点です。従来、フィッシング詐欺の多くは英語表示であったり、日本語表示であっても表現に違和感があり、明らかに偽メールや偽サイトであることが分かるものが大半を占めていました。

しかし最近では、日本語の表現が完璧で、日常生活で普段使用している大手の金融機関やショッピングサイトなどのサービス事業者になりすました偽メールや偽サイトを使ったフィッシング詐欺がユーザーに向け発信されています。こうした、フィッシング詐欺の巧妙化によってフィッシング詐欺の被害は増加しています。

サービス事業者のフィッシング詐欺による被害

ユーザーのフィッシング詐欺の被害増加は同時にサービス事業者のフィッシング詐欺の被害増加につながります。サービス事業者のフィッシング詐欺の具体的な被害としては、不正送金の被害者への補償などのほかにも、サービス事業者への不安や不信感が市場に高まりサービス事業者が市場に提供している製品やサービスの売上に影響をおよぼし大きな損出を被る可能性が出てきます。

メールを送るときのフィッシング詐欺対策

メールを送るときのフィッシング詐欺対策

サービス事業者が行うべきフィッシング詐欺対策として、ユーザーが本当のメールと偽メールの区別ができるようにすることがあります。

1.電子署名を行う

サービス事業者が作成したメールであることを確認できるように電子署名を行うことは望ましい取り組みです。電子署名は、紙ベースで行われていた署名と押印の役割を果たします

2.送信ドメイン認証を活用する

サービス事業者は、外部送信用のメールサーバーに送信ドメイン認証(送信元を詐称したフィッシングメールを検出する技術)を対応する必要があります。

3.サービス事業者固有の様式を使う

メールの偽造を完全に防ぐことは困難ですが、差出人や件名の書き方や、本文の構成や改行のしかた、文章表現や用語の使い方など、サービス事業者固有の様式を決めてメールを作成することで、ユーザーが偽メールに違和感を抱きやすくすることができます。

4.テキスト形式でメールする

フィッシング詐欺では、偽サイトのリンクを張り付けるために、HTML形式でメールを送信することが多いので、サービス事業者は基本的にテキスト形式でメールを送信するようにします。

5.メールでIDやパスワードの確認は行わないことをユーザーに伝える

サービス事業者からのメールでIDやパスワードの確認は行わないことをユーザーに継続して伝えていくことも、フィッシング詐欺防止につながります

サイトに行うフィッシング詐欺対策

サービス事業者が行うべきフィッシング詐欺対策として、偽サイトと正規サイトを判別可能とすることも重要です。

正規サイトであることを確認できる情報を表示する

ユーザーが正規サイトであることを確認できるように以下の3点を実施します

  • アドレスバーを隠さず、ページのURLをアドレスバーに表示する
  • 異なるドメイン名をURLに持つページが混在しないようframesetを使わない
  • JavaScript、Adobe Flashなど、HTML以外の要素が利用できることを前提とした画面設計としない

サーバ証明書を導入する

サービス事業者はサイトのすべてのページでHTTPSでのアクセスを提供しなければなりません。サーバ証明者を使用したHTTPSによる暗号通信は、機密性保護とWebサーバの正当性を確認できます。検索エンジンを使った検索でもHTTPSのページが上位表示されますので、偽サイトの抑制につながります。

ドメイン内設置サーバの安全性を確認する

サービス事業者は常にドメイン内設置サーバの安全性を確認し、脆弱性があるソフトウェアが放置されたままになっている管理不足のサーバーが設置されていないかチェックする必要があります。

フィッシング詐欺は、ターゲットとするサービス事業者のサイトのドメイン内に設置された管理不足のサーバを見つけ出し、コンテンツを改ざんしたり、偽のコンテンツを作成したりして不正を行います。

フィッシング詐欺被害を拡大させないための対策

フィッシング詐欺被害を拡大させないための対策

フィッシング詐欺の手口は巧妙化し、対策を実行してもさらにそれを上回る手口を仕掛けてくるのが現状です。そのため、フィッシング詐欺が仕掛けられても被害を拡大させないための対策も重要です。

ユーザーに端末を安全に保つように注意喚起する

ユーザーがフィッシング詐欺にあわないために、利用しているパソコンやスマートフォンの脆弱性をそのままにせず、OSやWebブラウザ、アプリケーションソフトウエアなどを最新の状態に保ち安全性を確保するように継続して注意喚起します。

ログイン時に複数要素認証を求める

フィッシング詐欺でユーザーから取得したログイン情報を利用して、不正を行えなくするために、ログイン時に、乱数表やワンタイムパスワードなどの複数要素認証を要求するようにすることも必要です。

資産の移動に限度額を設定

フィッシング詐欺の被害を拡大させないための対策として、振込み限度額や商品の購入限度額を設定できるようにする方法があります。たとえば、1日の上限を設定し、上限を超えた場合ユーザーに連絡する対策がおこなわれています。

資産の移動時に通知

取引が発生した都度ユーザーのスマートフォンなどに電子メールで通知をおこなうことも、フィッシング詐欺の被害を拡大させないための対策として有効です。

アクセス履歴の表示

ユーザーがサービス事業者の運営するサイトに訪問したアクセス履歴(接続時刻、時間、アクセス元IPアドレス)を確認できるようにすることもフィッシング詐欺の被害を拡大させないための対策として有効です。

フィッシング詐欺の報告窓口をサイトなどに設置する

万が一フィッシング詐欺が発生してしまった場合、早急にサービス事業者に情報が入る仕組みをつくっておくこともフィッシング詐欺被害を拡大させないための対策として重要です。たとえば、フィッシング詐欺が発生した場合にはサービス事業者のお問い合わせ窓口に至急連絡を入れるようにサイトに掲載するなどの取り組みも必要です。

まとめ

フィッシング詐欺の手口は巧妙化し、十分に対策を実施していると考えられていた大企業でも被害がでてきています。フィッシング詐欺は詐欺を受けたユーザーだけではなく、偽メールや偽サイトとして企業名を使用されたサービス事業者も信用を失い、経営悪化を引き起こしてしまう可能性が非常に高くなります。フィッシング詐欺の対策に終わりはなく、サービス事業者は、最新の情報をキャッチしながら、自社の対策を最新のものに整備し、ユーザーへは継続的に注意喚起を行い、被害を拡大させない取り組みを実行していく必要があります。

www.skyarch.net
クラウド セキュリティ ソリューション
https://www.skyarch.net/security/
スカイアーチでは、ご利用中の環境での セキュリティ対策 にお悩みの方に、ご要望に応じた セキュリティ 商材をご提供いたします。セキュリティ導入 に関する支援も行っておりますので、お気軽にご相談ください。

カテゴリー
セキュリティ
タグ
セキュリティ
フィッシング詐欺への効果的な対策とは?(サービス利用者編)

前の記事

フィッシング詐欺への効果的な対策とは?(サービス利用者編)
2020年12月22日
セキュリティ
Emotetとは

次の記事

Emotetとは
2020年12月24日