ECサイトは数多くの顧客情報・個人情報を保有しているため、情報セキュリティには細心の注意を払って運用する必要があります。コロナ禍によるオンライン消費行動の増加に伴い、EC事業者が特に警戒しておくべきリスクが「フィッシング詐欺」です。
当記事では、フィッシング詐欺の基礎知識・主な手口・被害に遭った場合の対処法・被害を未然に防ぐ対策について解説しています。EC事業者の方は、自身のビジネス・顧客を守るためにも、ぜひご参考下さい。
フィッシング詐欺とは
フィッシング詐欺とは、実在する企業・団体等を装った偽の電子メール・SMS等を送信して偽のサイトへの誘導を行い、カード番号・パスワード・口座情報等の重要な個人情報等を取得する詐欺手法のことです。
fishing(魚釣り)とsophisticated(洗練)を組み合わせた造語で、「phishing」と表記します。
誘導先となる偽サイトは本物そっくりに作られており、容易に見破れないのが大きな特徴です。ECサイトを騙ったフィッシング詐欺も横行しており、被害が増え続けています。
フィッシング詐欺に遭った場合の被害
フィッシング詐欺に対して警戒が必要な理由は、被害に遭った場合のダメージが非常に大きいためです。ここでは、フィッシング詐欺に遭った場合に想定される被害について解説します。
金融機関の情報が盗まれた場合
不正送金により預金が引き出される。
クレジットカード情報が盗まれた場合
オンラインショッピング等で不正に利用される。
アカウント情報が盗まれた場合
アカウントを乗っ取られ、買い物や犯罪等に勝手に利用される。
このように大きな被害が想定されるため、もし被害に遭ってしまった場合は早急な対処が必要となります。
サービス事業者側も注意が必要
フィッシング詐欺は、ECサイト等のサービスを提供する事業者が勝手に偽サイトを作られてしまうことで、偽サイトに誘導されたサイトの利用者が被害を受けます。直接被害を受けるのは利用者であるため、事業者は関係がないように考えがちですが、実際には事業者側も以下のようなリスクを受けることを知っておく必要があります。
社会的信用の失墜
フィッシング詐欺により生じた被害の規模が大きい場合は、事業者の過失の有無に関わらず、サイトや事業者に対するネガティブなイメージが浸透する傾向にあります。
社会的信用を失い、顧客の離脱や利用率低下といった大きなダメージを受ける可能性もあるため注意が必要です。
損害補償を求められる可能性がある
EC事業者等の場合は、フィッシング詐欺により盗まれたアカウントが事業者のサイト上で悪用されることから、対策・対応の状況次第では損害賠償を求められる可能性もあります。
このようにフィッシング詐欺の対象となった事業者は、事業の運営に影響を及ぼす被害を受けてしまう可能性があります。
そのため、フィッシング詐欺を防ぐ対策・万が一被害に遭った際の対応など、事業者としてサイト利用者の安全に貢献する施策を考えておくことが重要となります。
フィッシング詐欺の手口
近年ではフィッシング詐欺の手口は多様化・巧妙化している傾向にあるため、これから対策を検討している方は主な手口を把握しておく必要があります。
以下に、現在横行しているフィッシング詐欺の主な手口について解説していますので、ぜひご参考下さい。
Eメールを使った手口
フィッシング詐欺の最も一般的な手口は、偽のEメールでフィッシングサイトへ誘導するといったものです。実在する企業・団体・事業者をかたり、アカウントやクレジットカードの不正利用など、ユーザーの不安を煽るようなテキストで巧みにフィッシングサイトへの誘導を行い、個人情報やカード情報の搾取を行います。
近年では本物のサイトに似せたURLを使用するなど手口が高度化・巧妙化しつつあるため、少しでも違和感があれば開封せずに確認を行うことが重要となります。
SMSを使った手口
携帯電話・スマートフォンのSMSは、電話番号さえわかればメッセージを送信することができるため、フィッシング詐欺への誘導に多く用いられる手段です。
近年では、ECサイト事業者の不正ログインや配送業者からの不在連絡を装いフィッシングサイトに誘導する事例が多発しているため注意が必要です。
電話を使った手口
特定の企業・組織になりすまして電話をかけたり、フィッシングメールに記載した電話番号に電話をかけさせたりして、音声での対話によりフィッシング詐欺へと誘導する手口もあります。
このような手法はビッシング詐欺と呼ばれており、EC事業者をかたるケースも確認されています。メール等のテキストメッセージよりもリアリティを演出しやすいため、特に注意が必要な手口となります。
ウイルス感染を使った手口
近年では、ウイルス・マルウェアへの感染を利用した手口も横行しています。標的となる利用者の端末をウイルスやマルウェアに感染させ、ブラウザから正規のサイトへアクセスしたつもりでもいつの間にか偽サイトへと誘導されているという手口です。
違和感なくフィッシングサイトへと誘導されるため、対処が難しい悪質かつ巧妙な手口となります。
フィッシング詐欺被害が発生した場合の対処
フィッシング詐欺は被害を未然に防ぐことが最も重要ですが、もし被害に遭ってしまった場合も迅速な対処を行うことで被害から逃れたり被害を最小限に留めることができるため、自衛策として対処法を知っておくことが重要です。
ここでは、フィッシング詐欺被害の対処法について、利用者側・サイト運営者側に分けてそれぞれ解説します。
利用者側の対処
利用者側がフィッシング詐欺に遭った場合は、被害の拡大を防ぐために迅速な対処が必要となります。以下は、一般的な対処の手順について以下にご紹介します。
①金融機関・クレジットカード会社への連絡
まずは被害を止めるために、金融機関・クレジットカード会社へ連絡を行い、口座凍結・カード利用停止といった措置を行います。
②アカウント情報を保護する
アカウントを盗まれた場合は、パスワードを変更される前にパスワードリセット等を行うことで、アカウントを保護できる場合があります。もし乗っ取られてログインできなくなった場合は、事業者に連絡してロックしてもらいます。
③各サイト・サービスのID・パスワードの変更
同じアカウントを使いまわしている場合は、被害の拡大が予想されるため、各アカウントのID・パスワードの変更を行っておきます。使いまわしを行っていない場合でも、他に被害が無いかを確認しておきます。
④警察等への連絡
各都道府県の警察には、サイバー犯罪被害者のための相談窓口が設置されています。被害について相談しておきましょう。
サイト運営者側の対処
自社ECサイトの偽サイトがフィッシング詐欺に利用された場合は、加害者でなくとも間接的に被害を被る可能性があるため、迅速な対処が必要となります。以下に、サイト運営者側が取るべき対処法について解説します。
①被害状況の把握
フィッシングサイトや顧客からの問い合わせで得た情報をもとに、被害状況・影響範囲・リスクの大きさ等の調査・把握を行います。
②フィッシングサイトの閉鎖を試みる
フィッシングサイトのIPアドレスを管理しているプロバイダ・フィッシング詐欺被害対応事業者等にフィッシングサイトの閉鎖を依頼します。
③顧客への注意勧告
ECサイト上への表示やメールでの通知にて、顧客に対してフィッシング詐欺に対する注意勧告を行い、新たな被害を防ぎます。被害の規模が大きい場合は、専用の問い合わせ窓口を設けて問い合わせを行う場合もあります。
④警察・報道機関への連絡
フィッシング詐欺被害の状況・自社の対処について、警察等への連絡を行います。
⑤被害への対応
被害状況を把握しつつ、状況が落ち着くまで新たな被害抑制のための活動を継続します。
フィッシング詐欺に遭わないための対策【利用者側】
フィッシング詐欺は、被害に遭ってから対処するよりもまずは被害を未然に防ぐことが重要です。ここでは、ECサイト利用者側がフィッシング詐欺に遭わないための対策について解説します。
怪しいメッセージ内のURLはクリックしない
個人情報・クレジットカード番号等の入力を求めるなどの不審なメールが届いたら、安易にURLをクリックしないことが詐欺に遭わない基本的な対策となります。
クレジット会社や金融機関などは、基本的に個人情報やクレジットカード情報等をメールで聞いてくることはありません。
送信元アドレスやURLが正しいものか確認する
フィッシング詐欺では偽のメールアドレスやURLが用いられるため、メールアドレス・URLが正規のものであるかを確認することでフィッシング詐欺を見破ることができます。
不審なメールを受信した場合は、事業者の公式サイトに使用されているURL・メールアドレスを確認して、本当に正しいものであるのかを確認するようにしましょう。
ID・パスワードはサイトごとに分ける
同じID・パスワードを複数のサイトで使いまわしていると、フィッシング詐欺に遭った場合にすべてのサイトにアクセスされてしまうため、被害に遭った際のリスクが非常に高くなります。
もしフィッシング詐欺に遭った場合のリスクを最小限に押さえるためにも、ID・パスワードはサイトごとに分けて設定しておくことが重要です。
セキュリティソフトの導入
フィッシング詐欺は、IT・セキュリティに関する専門的な知識を持たない一般の方が見抜くのは困難です。そこで重要となるのが、端末にセキュリティソフトを導入しておくことです。
近年のセキュリティソフトには、フィッシング詐欺の疑いがあるメールを除外する機能や、不審なサイトへのアクセスをブロックする機能が備わっているため、導入しておけば詐欺被害に遭うリスクを低減することができます。
ただし、セキュリティソフトですべてのフィッシング詐欺を防げるわけではないため、過信しすぎないことが重要です。
フィッシング詐欺の手口について知っておく
フィッシング詐欺の手口は年々多様化・高度化している傾向にあるため、注意しているつもりでも被害に遭ってしまう可能性が考えられます。そのため、少しでも被害を減らすためには、フィッシング詐欺の手口や動向について理解を深めておくことが重要です。
予備知識を身に付けておけば、詐欺の兆候に気付ける可能性を高めることができます。
フィッシング詐欺に遭わないための対策【サイト運営者側】
続いて、フィッシング詐欺に対してECサイト運営者側が行っておくべき対策について解説します。フィッシング詐欺のリスクを防ぎ、顧客が安心して利用できるECサイトを運営するためにも、ぜひご参考下さい。
送信メールに施す対策
ECサイト事業者にとって、メールは顧客に情報を伝えるための重要なツールです。しかし、近年ではEC事業者になりすましたメールによるフィッシング詐欺被害も増えているため、送信メールに対しては必ず対策を施しておく必要があります。
以下に、EC事業者が送信メールに対して行っておくべき対策を解説します。
メールを送信するケースを事前に伝える
フィッシングメールでは、利用者にID・パスワードの入力を求め、個人情報を盗み取る手口が多く見られます。そのため、事業者としては、以下のようにメールを送信する状況・タイミング・内容などのルールを設け、あらかじめ利用者に伝えておくことが有効な対策となります。
- メールでID・パスワードの入力を求めることはありません。
- 登録情報の変更の案内をメールで送付することはありません。
- 当サイトからのご案内は○○.com以外のアドレスから送信することはありません。
ルールを明確化して利用者に周知しておくことで、利用者がフィッシング詐欺に遭う可能性を低減することができます。
テキストメールを採用する
HTMLメールは画像を用いたりテキストを装飾したりと広告宣伝に適した性質を持ちますが、偽の誘導先へのリンクを埋め込むことが容易にできるため、フィッシング詐欺のリスクが高まります。
フィッシング詐欺対策を優先するのであれば、テキストメールを採用することでリスクを低減することができます。
電子署名を付与する
電子署名とは、S/MIME形式と呼ばれる受信者のみにしか解読できない暗号化方式を利用して、メールが本物であることを証明できる仕組みのことです。
受信者側のメールソフトがS/MIME形式に対応している必要があるため万能ではありませんが、サイト運営者からのメールには電子署名を行っておくことで、偽メールによるフィッシング詐欺のリスクを回避することができます。
Webサイトに施す対策
フィッシング詐欺を防ぐには、本物のサイトと偽サイトを判別できるように、ECサイト自体にも対策を施しておくことが重要となります。
以下に、具体的な対策方法について解説します。
SSL/TLSによる保護
SSL/TLSとは、暗号化によりWebサイトの盗聴・改ざん・なりすましを防ぐ通信プロトコルのことです。ECサイトをSSL/TLS対応させることで、通信途中での盗聴・改ざんを検知できるだけでなく、サーバー証明書により正規のサイト運営元を証明することができます。
ECサイトを保護してフィッシング詐欺を防ぐ基本的な対策となるため、SSL/TLSには必ず対応しておくようにしましょう。
Webサイトを安全に保つ
ECサイト自体に脆弱性があると、不正なスクリプトを埋め込むサイバー攻撃により、個人情報を盗まれたりフィッシングサイトへの誘導が行われたりといった重大なリスクを招く恐れがあります。このような手法はクロスサイトスクリプティングと呼ばれており、フィッシング詐欺の手法として多く見られる手口です。
正規サイトがフィッシング詐欺に利用されることは本末転倒であるため、EC事業者としてサイトの脆弱性について確認・対処を行い、十分な安全性を確保しておくことが必須となります。
サーバーの安全性を確認しておく
ECサイトが利用しているサーバーの安全性が確保されていないと、不正に侵入されて同一ドメイン内にフィッシングサイトを作られるリスクがあります。
同一ドメインのフィッシングサイトは正規サイトとの区別が難しく、被害の規模が大きくなりやすいため、サーバーの安全性を確保しておくことは非常に重要です。
利用しているソフトウェアに脆弱性がないか、ログの監視を適切におこなっているかなど、サーバーにリスクファクターが潜んでいないか、定期的に確認しておくようにしましょう。
ドメインにおける対策
独自ドメインを取得して自社ECサイトを運営している場合は、ドメインに対して詐欺を未然に防ぐための対策を行っておくことも重要です。
自社の企業名・サービス名と関連性の高いドメイン名を利用する
自社と関連性が高いドメイン名を利用することで、利用者に信頼感を与えると同時に正規サイトと偽サイトを見分けるヒントとすることができます。
類似ドメインを取得しておく
自社サイトが利用しているドメインと類似したドメインは、悪意の第三者に取得されるとフィッシング詐欺に利用される可能性があります。ドメイン取得時に類似ドメインもまとめて取得しておくことで、不正利用を未然に防ぐことができます。
まとめ
EC市場は拡大・成長を続けており、人々の消費傾向のオンライン化は加速しつつあるため、ネットユーザーを狙ったフィッシング詐欺は今後も増加し続けると考えられます。
ECサイトを運営している事業者は、いつ自身のサイトが標的となるか分からないため、顧客が安心して利用できるように万全の対策を講じておくことが重要となります。
ECサイトの安全性を高めるには、セキュリティに優れたパッケージを選ぶことも重要。弊社では、ECサイト構築パッケージ選定について解説した資料を配布していますので、こちらもぜひご参考下さい。
