フィッシング対策に誰でも使える“あのツール”を転用した企業の話
友人から釣りに誘われた。釣りといえば、最近フィッシングメールからの“お誘い”も盛んだ。ついついクリックしたくなるようなメッセージで偽サイトに誘導する手口は実に巧妙で、被害に遭う人が続出している。取材で聞いた企業では、誰でも使える“あのツール”をフィッシング対策に転用しているという。
久しぶりに会った友人から釣りに誘われた。魚介類は昔から好んで食べており、独身のころは築地の場外市場に出向き、クルマエビやコダイなどを調達して我が家で友達に天ぷらやタイめしを振る舞ったこともあるほどだ。結婚してからは、子供が積極的に魚を食べないこともあり、すっかり足が遠のいてしまっている。
自ら釣りに行って調達する機会はあまりなく、消波ブロックの隙間に仕掛けを投げ入れる穴釣りの経験はあるものの、船での沖釣りは未体験。食育も兼ねて子供と一緒に釣りをして、食卓をにぎわすのも楽しい気がする。ぜひ参加してみたいものだ。
フィッシング対策の頼みの綱は、誰でも使える"あのツール"
釣りといえば、最近別の釣りのお誘いが頻発している。フィッシングと呼ばれる詐欺だ。犯罪者が実在する組織を偽ってユーザーを偽サイトに誘導し、個人情報を窃取するのが一般的な手口で、筆者の元にもEC事業者や宅配業者、金融機関を名乗るものから、「不在で荷物を持ち帰った」「約款が変更になった」というメッセージ付きでアクセスを迫るフィッシングメールやSMSのメッセージがそれなりの頻度でやってくる。ちなみに、携帯電話のショートメールやSMSを使ったフィッシング詐欺については、スミッシング(Smishing:SMS phishing)と呼ばれている。
この業界にいるせいか、まだ一度も釣られたことはないが、読者の中には被害に遭われた方もいるだろう。単純なフィッシングメールであればいざ知らず、SNSでつながりのある人が乗っ取られてしまうと、「この動画にあなたが映っているみたいだけど」とメッセンジャー経由でフィッシングへのお誘いが届いてしまうこともある。そんなメッセージが年老いた両親に届いているなら、間違いなく“釣られている”はずだ。
個人的な被害はもちろんだが、犯罪者に名乗られてしまった企業としても、社会的な信用が失墜するといった害を被る。企業は、自社を偽るフィッシング詐欺の話題が上った時点で、速やかに情報を収集し、ユーザーに注意喚起するといったスピーディーな対応が求められる。勝手に名乗られた者としては迷惑でしかないが、消費者へのネガティブなイメージを払拭するためにも、対処に向けた体制づくりや運用を整えておく必要があるだろう。企業にとってはなかなかの負担だ。
かたられる被害だけでなく、企業自身がフィッシング被害の当事者となることも考えておく必要がある。従業員が貸与PCやスマートフォンを経由してフィッシングの被害に遭うと、犯罪者に企業内部の情報を窃取されることはもちろん、場合によってはランサムウェアに感染し、業務停止に追い込まれることもある。企業は、従業員に対する教育などを行いながら、貸与端末に悪意のあるアプリがインストールされないようMDM(Mobile Device Management)などで制御するといった対策を進めている。
そもそも通信事業者の手で詐欺に該当するメールやSMSなどを止めることはできないのだろうか。通信事業者が詐欺メールやSMSを止めくれればフィッシングの被害を減らせるが、ことはそう簡単ではない。日本国憲法で保障されている通信の秘密という高い壁が存在しているからだ。通信事業者が通信の中身を閲覧して送信を停止できるような状況は、通信の秘密を侵害するとみなされる可能性がある。業界内でも議論があるものの、通信事業者の対処には限界がある、というのが正直なところだろう。
フィッシング被害を可能な限り防ぐためには、通信事業者やEC事業者などが協力して、さまざまな対策を有機的に連携させる必要があるというのが一般的な見解のようだ。配信経路での対策や端末での防御策、偽サイトに関する情報共有、不正利用の検知、商品配達における対策など、業界横断的な取り組みが求められる。
実際に名前をかたられた経験のある企業の担当者は「ユーザーから、うちの会社をかたったフィッシングメールが届きましたと直接お知らせいただけるケースもあります。しかしTwitterなどでフィッシングメールに関する情報が拡散した後にやっと気付くケースの方が圧倒的に多いのです。ずっとTwitterを監視しておければ早めに対処できるのでしょうが、そんなリソースもないですし……」と話していた。そこで、マーケティング施策の検証目的に別部署が契約しているSNS監視サービスを活用し、フィッシング被害をいち早く検知できるよう、部署間連携を含めた体制の整備に向けて動き出しているという。
セキュリティ脅威の1位に押し上がるフィッシング詐欺
いずれにせよ、フィッシング対策は、企業が本腰を入れて取り組むべき事項であり、今後の動向は注視しておくべきだ。IPA(独立行政法人情報処理推進機構)が発表した「情報セキュリティ10大脅威 2022」では、「フィッシングによる個人情報等の詐取」が個人向けセキュリティ脅威の1位に挙げられている。しかも、フィッシングの被害数に伴って、クレジット情報を偽サイトに入力して不正利用の被害に遭う数も増えるようで、同資料の4位に「クレジットカード情報の不正利用」もランクインしている。
なお、フィッシングの被害は、偽サイトで個人情報やクレジットカード情報を入力させられるケースや、偽サイトのURLをクリックした段階で不正アプリのインストールが実行され、デバイスがマルウェアに感染して情報を窃取されるケース、知り合いにSMS経由で詐欺メッセージをばらまいてしまうといった被害が代表的なものだ。
“相手をだましきれるか”フィッシングの本質
さて、冒頭の釣りのお誘いだが、仕事が立て込んでいることもあり、いまだに実現できていない。そんな話を取材後の雑談でしていたら、取材対象者がバスフィッシングを趣味にしていると話が広がった。せっかくなので、釣りの醍醐味(だいごみ)について聞いてみたところ「バスフィッシングは、まるで本物であるかのように疑似餌であるルアーを動かし、見えていないストラクチャー(水深の変化など)を想像しながら釣られる魚の気持ちになる。要は、いかにうまくだませるかどうかじゃないかな」とのこと。
私がチャレンジしたい海釣りとは醍醐味が違う気がするが、“本物のように見せかける”“相手の気持ちになって”“だませるかどうか”……まさにフィッシング詐欺のアプローチだなと独りごちたのだった。
読めば会社で話したくなる! ITこぼれ話
キーマンズネット取材班が発表会や企業取材などなどで見聞きした面白くて為になる話を紹介します。最新の業界動向や驚きの事例、仕事で役立つ豆知識に会議で話せる小ネタまで「読めば会社で話したくなる!」をテーマに記事を掲載。
Copyright © ITmedia, Inc. All Rights Reserved.