2023.06.22 通販支援
急増するフィッシング詐欺、全方位でカバーする新たな対策方法とは?
<PR>
ECサイトや配送会社を模倣したフィッシング詐欺サイトが多発している。フィッシング詐欺は、次々と新たなフィッシングサイトが立ち上がるうえにその手口が巧妙化しており、“点”で対策したとしても“いたちごっこ”の域を超えない。かっこ(株)は6月30日、こうした課題を解決する新サービス『鉄壁PACK for フィッシング』の提供を開始する。O-MOTION事業部長の川口祐介氏に話を聞いた。
かっこ(株)O-MOTION事業部長 川口祐介氏
急増するフィッシング被害
フィッシングの報告は2017年の約9800件から2022年には約98万8800件へと急増。特に狙われやすいのが、ECサイトや通信事業者、クレジットカード会社など。被害はクレカ情報の悪用が最も多く、ECではショッピングカートを狙うことが多い 。一般的なフィッシング詐欺のフローは、フィッシングメールを受信して偽サイトへアクセスし、重要な情報を入力すると、本人になりすましてログインし、悪用される。ECサイトの場合、ユーザー会員の個人情報が漏洩し、ネットショッピングでのクレカ不正利用などが見られる。
しかも、その手法は高度化・巧妙化している。最近では、攻撃者がユーザーと正規サイトの間に入る「中間者攻撃」によって、ワンタイムパスワードを突破する“リアルタイムフィッシング”の事例もある。
これまで、フィッシングはユーザーが注意すべきものとして注意喚起するEC事業者が多かったが、サイト運営者にも実害が及ぶケースが増え、対策が急務となっている。
これまで、フィッシングはユーザーが注意すべきものとして注意喚起するEC事業者が多かったが、サイト運営者にも実害が及ぶケースが増え、対策が急務となっている。
フィッシングに遭うとサイト運営者には、個人情報の漏洩をはじめ、クレカ不正利用や不正送金といった問題が生じる。この結果、ブランドの信頼を損なう。サイトの休止を余儀なくされるなど、業績に影響を及ぼすことも珍しくない。
フィッシング詐欺が行われるあらゆるフェーズでの対策をパッケージ化
このようなフィッシングによる被害を網羅的・効果的に対策するため、かっこは6月30日、新サービス『鉄壁PACK for フィッシング』の提供を開始する。した。
同サービスは、フィッシングメール対策支援、フィッシングドメイン検知、不正アクセス検知の3つを標準サービスとし、複数要素認証、テイクダウン(停止措置)代行などのオプションサービスをリスク状況や予算に応じて選択することにより、リーズナブルな価格で網羅的なフィッシング対策が可能だ。
O-MOTION事業部長の川口祐介氏は新サービスの概要について、「まずフィッシングメールを受信させないようにする。次にフィッシングに悪用される可能性があるドメインが立ち上がったことを検知し、最終的には、他社サイトからの流出も含めて詐取されたID・パスワードなどの個人情報による“なりすましログイン”を水際で防ぐ」と説明する。
『鉄壁PACK for フィッシング』が提供する3つの標準サービス
1つ目のフィッシングメール対策支援サービスは、ドメイン認証技術のDMARCを活用し、なりすましメールに対応する。標準のDMARCレポートは、GZIP形式で圧縮されたXML形式のファイルが送信されるため、専門知識がないと運用は困難だ。しかし、同社の新サービスでは、集計してエクセルファイルに変換して提供する。エクセルの集計シートには、過去30日分のドメイン別日次集計や送信元IP別集計などが整理される。また、DMARC認証失敗率が急増した場合には、アラートメールで通知される。
「本来、解読が困難なものを可視化し、どのような結果なのかがわかるようにして、DMARCの設定を正しく行えるように支援する」(川口氏)。例えば、DMARCレポートで正規メールが認証を失敗したケースがないかを確認し、設定を見直して認証失敗を解消する。また、DMARCレポートで認証失敗のメールドメインを確認し、「当社ドメインを装った不審なメールにご注意ください」といった注意喚起を行うことで、なりすましメール対策の実効性を上げる。
2つ目のフィッシングドメイン検知サービスは、本物のサイトに似せたフィッシングに悪用される可能性があるドメインが取得されたことを検知する。監視対象ドメインの類似ドメインを検知し、Whois情報(ドメインの登録者情報)等を加えた一覧をサイト運営者にレポートやアラート通知によって知らせる。オプションを活用すれば、検知した類似ドメインを使用したフィッシングサイトを監視し、それらをテイクダウン(停止措置)することが可能となる。
「フィッシングサイトが作られる前工程であるドメインの取得を検知することによって、フィッシングが起こる予兆を監視する仕組み」(川口氏)という。
3つ目は、水際で被害を防止する不正アクセス検知サービス「O-MOTION」。これは、正しいID・パスワードによるアクセスであっても、本人によるものか不正アクセスによるものかをリアルタイムに検知するクラウドサービスだ。
盗んだID・パスワードを使った“なりすましたログイン”や、盗んだID・パスワードの組み合わせを総当たりで試行する「Botアタック」をリアルタイムで検知できる。また、オプションの複数要素認証と組み合わせることで正常ユーザーのユーザビリティを損ねない運用も可能だ。
『鉄壁PACK for フィッシング』の5つの特長
「鉄壁PACK for フィッシング」の特長をまとめると、次の5点に集約される。
(1)フィッシングが起こるあらゆるフェーズで対策可能、(2)フィッシング対策ガイドライン「Webサイト運営者が考慮すべき要件」の大半をカバー、(3)リスク状況や予算に応じて必要な対策をチョイス可能、(4)特許技術による不正アクセス検知で実効性が高い対策が可能、(5)複数要素認証との組合せでユーザビリティを損ねない対策が可能。
6月末のリリースに先駆けて、「プレ営業としていろいろな企業様に提案したが、反応はとても良い」(川口氏)と胸を張る。
高評価を受けた理由の1つに、導入企業にセキュリティの専門スキルがなくても、不自由なく利用できる点がある。専門人材の採用や配置の必要がなく、無理のない運用体制で対策可能だ。
大規模ECや金融機関に提案
新サービスの本格展開に向けて、主に大規模なEC事業者をはじめ、銀行、クレカ会社などの金融機関へ提案する予定だ。
川口氏は今後の展開について「フィッシングは経済産業省も対策を指示し、大きな社会問題となっている。ECにも対策が必要なことから、正しい対策を行ってほしいと働きかけていきたい」と話している。
(聞き手:山本 剛資、文:木村祐作)
※「資料掲載企業アカウント」の会員情報では「通販通信ECMO会員」としてログイン出来ません。
資料DLランキング
-
1
【EC事業者様向け】ECを最短で軌道に乗せる最新のソリューションとは?
-
2
2024年プライムデー速報
-
3
越境ECウェブインバウンド白書2024
-
4
EC売り上げを最大化するマルチチャネル商品戦略
-
5
ECでの商品購入に直結するデジタル広告の実態調査
ニュースランキング
-
1
楽天グループと日本ロレアル、パートナーシップ契約締結へ合意
-
2
年末年始に消費したいもの、「外食・旅行」の割合が増加
-
3
コスメ際「@cosme BEAUTY DAY」、限定アイテムなど最新情報を公開
-
4
モルカー×ゴディバのZOZO箱、ランダム梱包で配送開始…限定100万個
-
5
レシピと食材をセットに…Oisix「手作りおせち」の予約受付開始
