Eビジネスを推進するORANGEシリーズ

EC-ORANGE
ECのミライを考えるメディア
お役立ち資料ダウンロード ニュースレター登録
お役立ち資料ダウンロード ニュースレター登録

ECのフィッシング対策は不正利用の抑止策。負の連鎖を断ち切るには


フィッシング詐欺は、2017年からの5年間で件数が100倍にも増加しました。



EC事業者や大手企業は、なりすましメールや偽サイトを騙られ、消費者はクレジットカード情報の流出被害に遭っています。



大手ECサイトでは2段階認証が有効であるにも関わらず不正アクセスが発生するなど、手口も巧妙化、全世界的な注意喚起と対策は、もはや待ったなしの状況です。



EC事業者がフィッシング詐欺を防ぐには、不正検知サービスの導入やテイクダウン対応、DMARC設定、ログイン認証強化といった対抗策が、有効とされています。



本稿では、フィッシング詐欺増加の現状をデータで確認するとともに、安全なECサイトをユーザーに提供するためにできる対策について紹介します。



フィッシング詐欺被害が継続して拡大中



実在の企業や金融機関を装ったサイトにアクセスさせ、パスワードやクレジットカードなどの個人情報を抜き取るフィッシング詐欺が、急増しています。



コロナが蔓延する以前の2019年のフィッシング詐欺件数は、1年間で5万件超でしたが、2020年には一気に22万件以上に増加し、2021年には50万件と二倍以上増えています。



この拡大傾向に歯止めはかからず、2022年は96万件以上にものぼっています。



警視庁と金融庁は、インターネットバンキングに係るフィッシング被害について、2023年の総被害額が約80.1億円に達するというデータを公開しています。2022年の被害総額は15.2億円となっているので、単純計算で、1年間のあいだに5倍以上被害金額が増えてしまったことになります。



出典:警察庁・金融庁プレスリリース「フィッシングによるものとみられるインターネットバンキングに係る
不正送金被害の急増について(注意喚起)」




こうした事態を受けて、警視庁だけでなく、世界も懸念を示しています。アンチ・フィッシング・ワーキング・グループ(Anti-Phishing Working Group:APWG)は、個人情報の盗難およびオンライン詐欺を防ぐ世界的な団体として、サイバー犯罪の抑止となる対策を講じていくと改めて発表しました。フィッシング詐欺は、有名ブランドや大手ECサイトの名前を騙るものが多く、巧妙化しているのが現状です。



APWGは、MetaやMicrosoftのような世界的なIT企業と協力しながら、国際的なECサイトの安全な利用、詐欺犯罪の防止を目指していくということです。



カード情報流出件数の推移



カード情報の流出件数も増加しています。



ある調査によると、2022年のクレジットカード情報の流出被害額は過去最高の411億円、2023年も1〜6月の半年間のみで245億円もの被害が出ています。



カード情報が流出しやすい商材カテゴリーは、家電・電子機器・ PCが圧倒的に多く、流出件数は2023年の1〜3月だけで約11万件もあります。



次いで多いのはアパレル商材で、こちらは約4万件のカード情報流出が分かっています。



EC事業者の被害状況



EC事業者が被害に遭うケースは非常に多く、あるアンケートでは約35%のEC事業者がクレジットカードの不正被害を体験しています。



この数字は、ざっくり考えて3社に1社が被害に遭っている計算になります。



複数回、不正注文の被害に遭う事業者も多く、年間を通じて25〜50万円の損害を被ってしまうケースが多いようです。



海外大手ECからの情報流出も問題に



Amazonでも不正利用が増加しています。



2023年9月には、クレジットの2段階認証が有効になっているにも関わらず、アカウントの乗っ取りや不正アクセスが多数確認されています。



また、流出した情報を使ってAmazonギフトカードを大量に購入されるといった被害も報告されました。



2段階認証が突破される場合、中継型フィッシングあるいはリアルタイムフィッシングという不正ログインが行われている場合があります。



リアルタイムフィッシングはアカウントの持ち主が気づかないまま不正なログインをされてしまうので、被害者がカード明細や銀行残高をチェックするまで被害に気づかないという特徴があります。



こうした被害を未然に防ぐためには、SMSでワンタイムパスワードを発行するようにしたり、専用アプリを使ったりして、犯罪が入り込む余地をなくす必要があります。



使用した画像はShutterstock.comの許可を得ています




EC運営事業者が行うべき、有効なフィッシング詐欺対策



もともと、Phishing(フィッシング)は、Fishing(釣り)とSophisticated(洗練)という単語を組み合わせた造語表現と言われています。



本来のサービスや事業者を装ってユーザーを騙し、個人情報を抜き取ることから「洗練された方法で被害者を釣り上げる」という意味になっています。犯罪に「洗練された」というのは語弊のある言い方ですが、それだけ手口が巧妙化していて、騙されやすいということが言えます。



事実、情報セキュリティの脅威として挙げられている第一位は「フィッシングによる個人情報等の詐取」とされています。フィッシング詐欺の被害件数がこれだけ多くなると、対策してもいたちごっこの様相を呈してしまう可能性はあります。



しかし、何の対策もなしにECサイトを運営していては、顧客の情報を守ることはできません。



現在行われている対応は、テクノロジーを活用した「技術的対策」と、危険をアナウンスするような「人的対策」があり、その方法も多岐にわたります。



技術的対策:不正検知サービスの導入



不正検知は、過去の取引データを活用して危険性を判断するシステムです。



同じ住所を使って短期間に大量注文を行なっている、過去に不正利用されていた情報を使ったアカウントで注文が行われている、これらは事業者にとって、いわゆるリスクの高い取引となります。



不正検知サービスは、不審なカードを見つけて上記のようなリスクの高い取引を未然に防ぐために機能します。



不正利用は、売上利益が損なわれるだけでなく、ECサイトのイメージを損なう可能性があります。



未然に防いで、顧客が安全に利用できるECサイト運営を目指しましょう。



技術的対策:テイクダウン対応



テイクダウンとは閉鎖のことです。



フィッシングを確認した時、元凶となる偽サイトを閉鎖して、被害の拡大を防ぐのがこのテイクダウン対応です。



テイクダウンは、公式ECサイトを運営している事業者が自身でISP(インターネット接続サービス事業者)に連絡して対応してもらう以外にも、専門機関やテイクダウンの代行事業者に依頼する方法があります。偽サイトを発見したからといって、必ずしも自社だけで対応する必要はありません。



技術的対策:DMARC設定



DMARCは、メールの送信ドメイン認証技術を補強するテクノロジーです。



これを導入すると、なりすましメールはSPF、DKIMといった送信ドメイン認証技術のフェーズで認証失敗になるため、顧客にメールが届かなくなる(迷惑メールとして処理される)ようになります。



DMARCの受信制御は、「none(そのまま受信させる)」、「quarantine(隔離させる)」、「reject(受信を拒否する)」の3つから選ぶことができます。



この対策を導入する際は、まずDMARCレポートで自社ドメインのなりすましメールがどの程度存在しているか状況精査をすることが重要です。



その上で「reject」を選択することで、なりすましメールを顧客に届けることを阻止することができます。



なりすましメールは、公式のメールとロゴやフォーマットが酷似していることが多く、見ただけではなりすましと判断できないものも増えています。



どれだけ注意喚起をしても、うっかりメールを開いたり記載されたURLを開いてしまったりする人をゼロにするのは難しいことです。



DMARCの受信制御は、巧妙化するなりすましメールそのものをブロックする対策で、攻めの防御とみなすこともできるかもしれません。



技術的対策:ログイン認証強化



フィッシング詐欺の中には、正規サイトにログインしてから不正に情報や資産を抜き出し、移動させてしまうという手口が存在します。



それを防ぐには、ログイン認証の強化が効果的です。



具体的には、指紋などの生体認証、合言葉認証、ワンタイムパスワード認証、モバイスアクセス制限、IP制限サービスなど多様な認証を2つ以上、組み合わせて用いるのが利用的です。



これらは二要素認証(多要素認証)と言います。



また、パスワードを設定する時に、誕生日や名前といった予想されやすい文字列(数列)では登録できないようにする、同じ数字の連続を不可にするなど、予測しにくいように工夫することもログイン認証強化の一つと言えます。



人的対策:注意喚起



ECサイトを利用するユーザーに、注意喚起を行うことも重要な対策の一つです。



例えば、フィッシング被害が確認された時には、サイトの目立つところに注意喚起のメッセージを表示します。



万が一の場合に備えて、相談窓口も掲載しておくと良いでしょう。



メルマガや注文確定メールなどにも、フィッシング被害について注意を促すメッセージを入れるとより安心でしょう。



なりすましの手口や確認されている被害を公開することで、ユーザーの一人一人が注意するようになり、結果として被害を減らすことができるはずです。



顧客に注意喚起するだけでなく、社内でもフィッシングや偽サイトについて周知をしておくことが重要です。フィッシング詐欺がどのようなもので、顧客にどのような被害を与えてしまうのか、またECサイトや企業にとってどのような脅威となるのかを全員が共有することで、企業全体のセキュリティ意識を高めることができます。



セキュリティ教育には、ホワイトハッカーを招いた実践的な研修や、実際に起こったケースを通して対応を学ぶ研修などがあります。



人的対策:マニュアルを決めて初動を迅速に



フィッシング被害は、対応が遅れると被害者が増える傾向があります。



迅速な初動を心がけて、日頃から「実際にフィッシング被害が起こったらどうするか」を決めたマニュアルを準備しておきましょう。



顧客から被害報告を受けた、偽サイトを見つけたという場合は都道府県警察のサイバー犯罪窓口に相談をします。



警察庁のサイトには、フィッシング報告専用の窓口が掲載されているので、そちらに連絡するようにします。



フィッシング詐欺は不正利用の温床。負の連鎖を断ち切る対策を



フィッシング詐欺で抜き出された情報は、不正利用をするために使われます。



つまり、フィッシング詐欺を未然に防ぐことができれば、不正利用の件数も抑えることが可能になります。



最も悪質なのは詐欺行為を働く悪意ある者ですが、セキュリティが脆弱なままECサイトを運営することは、運営事業者の責任を果たしているとは言えないでしょう。 顧客が安心してサイトで個人情報を入力できるように、犯罪抑止の対策を講じることがこれからますます重要になってくるはずです。


関連記事
このエントリーをはてなブックマークに追加