フィッシング詐欺は消費者に被害をもたらすだけでなく、企業にとっても大きな脅威になります。社員が業務で使っているパソコンでフィッシング詐欺にあってしまえば、企業がサイバー攻撃を受けるだけでなく、顧客にも被害がおよぶ可能性があるからです。

自社のビジネスを安全に継続させるためには、情報システム部門としても、フィッシング詐欺について理解しておく必要があります。フィッシング詐欺を防ぐためには、セキュリティを強化するだけでなく、社員教育も重要です。

フィッシング詐欺にはどのような種類があるのか、被害にあった場合はどのように対処すればよいのかなどを、事例を交えて紹介します。

フィッシング詐欺とは

フィッシング詐欺(phishing scam)とは、インターネット経由で個人情報を詐取する(だまし取る)ことです。差出人を詐称したフィッシングメールを経由し、住所、氏名、銀行口座番号、クレジットカード番号などの個人情報を詐取します。

最近は自宅からのネット通販利用が増加しており、それにつれてフィッシング詐欺の被害も増えているため、対策が必要です。

フィッシング詐欺の特徴

フィッシング詐欺を行うメールやWebサイトには、次のような特徴があります。

  • メール(フィッシングメール)、メッセージの場合
    • 不自然な日本語
      フィッシングメールの文面は、不自然な日本語や、違和感を覚える言葉遣いになっていることが多いです。
      敬語が不自然だったり、翻訳調の文体だったり、ビジネスメールなのに「!」が多用されたりしています。
    • なんらかのアクションを要求する内容
      連絡をとる、サイトで認証を行うなど、急いでなんらかの対応を行わせる内容が多いです。
    • 不安にさせる内容
      受信者の不安をあおり、じっくり考えさせない内容が多いです。
  • Webサイト(フィッシングサイト)の場合
    画面も文面も、本物とそっくりで一見区別がつきにくいですが、URLが異なります。

企業が受けるフィッシング詐欺の被害

企業が受けるフィッシング詐欺の被害には、次のような種類があります。企業側は被害の種類を問わず、できるだけ予防しなければなりません。

  • 社員が業務に使用しているパソコンで業務関係の情報が詐取される
  • 社員の業務用パソコンが被害にあうことで、顧客や取引先の情報が漏えいする。そこから顧客や取引先の個人情報や認証情報が漏えいし、顧客や取引先がなりすましや金銭的被害に遭う
  • 自社の提供しているオンラインサービスが改ざんされ、フィッシングサイトとして詐欺が行われたり、マルウェアの配布に使われたりする

フィッシング詐欺の流れ

攻撃側から見ると、フィッシング詐欺は、次のような流れで行われます。

  1. 差出人を偽装した電子メールを送る
    ターゲットを絞り込んでいる場合(標的型攻撃)と、無差別に送っている場合(無差別攻撃、一斉攻撃)があります。
  2. メールから偽のWebサイトへ誘導する
    誘導先のWebサイトは、偽装した差出人の企業・団体の公式サイトに似せて作られています。
  3. 個人情報を抜き取る
    偽装したWebサイト上でログインや決済情報の認証などを行わせ、個人情報を詐取します。
    偽のバナー広告やショッピングサイトを作成し、消費者に購入させて、代金を受け取っても商品を送らず情報を抜き取ることもあります。

どのような差出人を装うのか

攻撃側は、次のような企業・団体を装ってメールを送ってきます。

  • 金融会社
    クレジットカード会社、銀行、暗号資産交換所など
  • ネットショッピングに関連するサイト
    オンラインモール、オークション、フリマ(フリーマーケット)、宅配業者など
  • オンラインサービス
    映像配信事業者、オンラインゲーム、掲示板、ブログサービスなど
  • 携帯キャリア、セキュリティサービス
    携帯電話会社や、アンチウイルスソフトウェアのベンダーなど
    契約の有無に関わらず携帯キャリアサービスを装い、SMSを使う詐欺(スミッシング)も多い

どのような情報が狙われるのか

攻撃側は、次のような個人情報を狙って攻撃してきます。

  • アカウント情報:オンラインサービスやネットショップのIDとパスワード
  • 実在の個人情報:住所、氏名、電話番号、携帯電話の番号など
  • 決済情報:クレジットカード番号、キャッシュカード番号、暗証番号、有効期限、セキュリティコードなど
    金銭被害が生じるような情報が多く、被害も大きくなります。

フィッシング詐欺の被害にあった場合の対処

フィッシング詐欺にあった場合、次のような対処を行います。企業が被害を受けた場合は、個人の場合よりも多くの対処が必要です。

一般的な対処

被害者が個人でも企業であっても、必要な対処です。

  • 個人情報を入力していない場合
    フィッシングサイトにアクセスしても個人情報を入力していない場合は、IDとパスワードを変更する必要はありません。
    マルウェアがインストールされていないか、ウイルス対策ソフトで確認しておきましょう。
  • 個人情報を入力してしまった場合
    フィッシングサイトに個人情報を入力してしまった場合は、すぐにIDとパスワードを変更します。
    IDやパスワードを複数のサイトで使い回している場合は、すべてのサイトで変更が必要です。

企業としての対処

企業が被害を受けた場合は、上記に加えてさまざまな対処が必要になります。企業は被害者だけでなく、加害者になる可能性があるからです。

企業がフィッシング詐欺にあうと、自社に関する情報が盗まれて被害者になります。しかし、それだけでなく、自社の顧客や取引先の情報を盗まれることで、顧客や取引先が被害を受ける可能性もあるのです。その場合、顧客や取引先の情報漏えいを許してしまった企業側が加害者の立場になるといえます。

  • 被害の把握
    まずは被害をできるだけ把握します。社内、顧客、取引先への聞き取りが必要です。
  • 関係機関や報道機関への連絡
    自社がフィッシング詐欺にあったことを、都道府県警察本部のサイバー犯罪相談窓口に連絡し、報道機関に公表します。それによって、これまで把握できなかった被害が明らかになるかもしれません。
  • 注意勧告
    自社のユーザーや顧客へ被害についてあらためて連絡し、注意喚起します。
  • テイクダウン依頼
    フィッシングサイトがまだ稼働していれば、IPアドレスブロックを管理しているISPや専門機関へWebサイト閉鎖の依頼(テイクダウン依頼)を行います。
  • 被害対応
    被害状況を把握したら、顧客や取引先に対する賠償や謝罪を行います。また、閉鎖しているサービスを再開させるための準備も必要です。
  • 事後対応
    自社および顧客や取引先への対応が落ち着いたら、事後の対応を行います。再発防止に向けた改善点や対策などを検討し、その内容を公表することで、信頼回復を図ることが必要です。

フィッシング詐欺の対策

このように、企業がフィッシング詐欺の被害を受けた場合は多くの対処が必要です。日ごろから次のような対策を行い、被害を防止しましょう。

一般的な注意事項

フィッシング詐欺による被害を防ぐためには、一般的に次のような注意が必要です。

  • 不審なメール、SMS、Webサイトは開かない
  • メールやメッセージにあるURLをむやみにクリックしない
  • 身に覚えの無い通知は開封しない
  • Webサイトにはメール内のリンクではなく、ブックマークからアクセスする
  • ワンタイムパスワード(OTP)や2段階認証など、より複雑な認証を利用する
  • OSやソフトウェアのバージョンは常に最新の状態にしておく
  • ウイルス対策ソフトウェアをインストールし、修正プログラムを更新する
  • クレジットカード会社や金融機関からのメールで、個人情報やクレジットカード情報などを確認することはないと理解しておく

社員が被害にあうことを防止するための対策

自社の社員が業務用パソコンでフィッシング詐欺にあうことを防ぐためには、上述の注意事項を徹底させなくてはなりません。そのためには、企業が次のような対策を行う必要があります。

  • 社員へのセキュリティ教育
  • セキュリティソフトウェアの導入
  • エンドポイントセキュリティの強化
  • サイバーレジリエンスの導入

エンドポイントセキュリティについては「エンドポイントセキュリティでビジネス環境を整える!その重要性や注意点、サービスの選び方について」をご参照ください。

サイバーレジリエンスについては「サイバーレジリエンスとは?その必要性や導入ポイントについて解説!」をご参照ください。

自社のサービスから顧客やユーザーに被害がおよぶことを防止する対策

自社のサービスが改ざんされ、利用している顧客やユーザーがフィッシング詐欺の被害者になることを防止するためには、次のような対策が必要です。

  • Webサイトを暗号化し、SSL証明書を取得する
  • システムに脆弱性や設定ミスがないか確認する
  • セキュリティ製品を導入し、Webサイトをモニタリングする
  • ワンタイムパスワードを導入する

企業は、自社と顧客の両方をフィッシング詐欺の被害から守らなければならない

フィッシング詐欺は有名なサイバー攻撃のひとつで、規模の大小に関わらず、企業も個人も被害を受ける可能性があります。

しかし、企業は自社が受ける被害だけでなく、自社のWebサイトになりすましたフィッシングサイトや、改ざんされた自社のWebサイトから顧客やユーザーに被害がおよぶことも防がなければなりません。そのためにはふたつの防御策が必要になります。ひとつは社員への教育と社内のエンドポイントの保護、もうひとつは自社の提供するWebサイトのセキュリティ強化です。どちらも、ウェブルートのセキュリティツールを組み合わせることで実現できます。

たとえば、「Webroot® Business Endpoint Protection」で自社のエンドポイントやWebサイトのフロントエンドを保護します。また、「Webroot® DNS Protection」で自社端末やWebサイトの入口対策が、「Carbonite® Endpoint」でエンドポイントデバイスのデータの保護が可能です。 社内で「Microsoft 365」を利用している場合は、「Carbonite® Backup For Microsoft 365」でバックアップを作成すると、より効果的でしょう。

これらのセキュリティツールについて詳しくは、各ページをご参照ください。