企業で起こりうるセキュリティにまつわるさまざまなトラブルについて、茂礼手課長と部下の布施木さんの会話形式で、わかりやすく説明する本連載。第3回のテーマは「ECサイトのアカウントロックを装うフィッシング詐欺」。茂礼手課長のスマートフォンに、ECサイトのアカウントロックを告げるメールが届いたようです。
主な登場人物
茂礼手太朗(もれて・たろう)
茂礼手課長と呼ばれている。なにかとやらかしては、布施木君に注意される。
布施木ます子(ふせぎ・ますこ)
布施木君と呼ばれている。なんだかんだと茂礼手課長をサポート。
ある日のオフィスにて
茂礼手: 「布施木君。今日は朝からびっくりしたよ」 |
布施木: 「どうしたんですか、課長」 |
茂礼手: 「朝起きてスマホでメールをチェックしたら、ECサイトから『身に覚えのないアクセスがあった』とかいう通知が来ていたのだ」 |
布施木: 「で、どうしたんですか?」 |
茂礼手: 「メールには『念のためあなたのアカウントをロックした』と書いてあったから、案内に従ってサイトにアクセスしてロックを解除したというわけだ。まったく朝の忙しい時に人騒がせなことだ」 |
布施木: 「どんなメールですか? (課長のスマホを見る)差出人のアドレスが怪しいし、これひょっとしたら、フィッシングじゃないんですか?」 |
茂礼手: 「フィッシング? 布施木君、いっておくが、僕は断然、海釣り派だぞ」 |
布施木: 「違いますよ、課長。『フィッシング(Phishing)』」というのは、銀行やECサイト、利用者の多い有名ブランドなどをかたってメールを送りつけ、個人情報をだまし取ることですよ。本物そっくりの偽サイトに誘導して、IDやパスワードなどを入力させようとするんです」 |
茂礼手: 「ということは、僕が受け取ったメールは偽物のメールだったのか?」 |
布施木: 「はっきりしたことはわかりませんが、その可能性が高いのではないかと」 |
茂礼手: 「なんと物騒な! 本物だと思ってアクセスしたのが偽サイトだったなんて、知らないうちに僕のログイン情報は釣られてしまったんだな」 |
布施木: 「課長、のんきなこといっている場合じゃないです。今すぐにパスワードを変更して、ECサイトの運営会社に連絡してください」 |
「利用者の脆弱性」を突いた詐欺行為が蔓延している
茂礼手課長は、フィッシングメールを受信して、偽サイトに誘導されてIDとパスワードを入力してしまった可能性が高いようです。
利用者の多いECサイトやチャットサービス、仮想通貨サービスや金融機関などをかたるフィッシング詐欺が数多く報じられています。情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2017」でも、フィッシングは「インターネットバンキングやクレジットカード情報の不正利用」という名目で、個人の脅威で第1位、組織の脅威で第10位にランクインしています。
最近では、AmazonやApple、LINEといった知名度の高いブランドをかたり「あなたのアカウントが、利用規約に違反する購入に使用されているため、アカウントをロックした」として、ロックを解除するためにリンクをクリックするよう促したり、「アカウントのパスワードが簡単で安全に問題がある」として、アカウントの安全性を高めるために、パスワードを再設定するよう促したりする手口などが確認されています。
リンクをクリックすると、本物そっくりのフィッシングサイトに誘導され、ECサイトやネットバンキングなどのログイン情報(IDやパスワード)、が盗み出される可能性があります。
差出人のアドレスは、本文のドメインに似たアドレスから送るケースがあり、一見すると本物と見分けがつきにくくなっている上、メールの文面も、日本語に違和感がなくなってきています。さらに、偽サイトは本物そっくりに作ってあり、サイトの見た目だけで見分けるのはほぼ不可能です。
IDとパスワード、ネットバンキングの認証情報といった情報は、本人であることを証明する大切な情報です。これが他人に知られたら、自分の口座の預金を勝手に第三者の口座に送金されるかもしれません。また、企業システムの認証情報が漏れたら、社内ネットワークに不正に侵入され、重要情報が外部に盗み出されるかもしれないのです。
こうした被害を未然に防ぐには、パスワードの設定を見直し、「強い」パスワードにすることや、同じパスワードを使い回さないという対策を行うことが大事です。
そして、「メールに記載されたURLは閲覧しない」「個人情報の入力を求めるメールは疑ってかかる」、また「アクセスしたサイトが本物かどうかアドレスバーのドメイン名を目視確認する」といった基本的なフィッシング対策を行うようにしましょう。
ID・パスワードの設定方法、フィッシングに関する注意点については、以下の「セキュリティ7つの習慣・20の事例」も参照してください。
- 習慣3(IDとパスワードを強くしましょう)
- 習慣4(知らない人からのメール・LINE、チャットに注意しましょう)
- 習慣7(万が一、問題が起きた時は早めに連絡・相談をしましょう)