フィッシング対策で企業が取り組むべきセキュリティ対策
近年、企業をとりまくサイバー攻撃の脅威は年々高まっています。被害状況は深刻となっており、明日は我が身と思わざるを得ない状況にきています。
詐欺や不正利用を防ぎ、企業の機密情報や評判を守るフィッシング対策は欠かせません。
そこで今回は、最新のフィッシング状況のほか、サービス事業者が取り組むべきセキュリティ対策やF5のフィッシング対策サービスをご紹介します。
フィッシングとは?~2021年時点での現状と過去の被害事例について~
フィッシング詐欺とは、悪意を持つ何者かが、一般事業者の社名やサービス名などのブランドを不正にかたって送信者を詐称した電子メールを、一般人や企業に送りつけたり、偽のホームページに接続させたりすることで、クレジットカード番号やアカウント情報といった重要な個人情報を盗み出す行為のことです。
フィッシング詐欺にあうと、顧客や従業員が個人識別情報を詐取されたり、金銭的な損害を被ったりするほか、悪用された事業者は信頼やブランドイメージの低下のリスクもあり、大きな問題となっています。
フィッシング詐欺の現状
2021年2月にフィッシング対策協議会に寄せられたフィッシング報告件数(海外含む)は、約3万件となっています。2020年3月は約9,600件で、月を追うごとに徐々に増加し、2020年8月には2万件を超え、2021年2月までに増加の一途を辿っています。
2021年2月にフィッシングに悪用されたブランドは59ブランドで、そのうち、クレジット・信販系は16ブランド、金融機関は7ブランドでした。
>参考情報:フィッシング対策協議会 - フィッシング報告状況
フィッシング詐欺の主な手口
最も単純で典型的な手口は、一般事業者を模したフィッシングサイトを用意して、そのサイトのURLを文面に含めたメールを利用者にばらまく手法です。
またSMSを利用し、フィッシングサイトへ誘導する手口に加え、電話をかけるように誘導し、利用者本人と電話で話したうえ、金銭を詐取する手口が使われることも多くあります。
過去には、カード会社を装ったフィッシングメールから偽のWebサイトに誘導することでクレジットカード番号や暗証番号を盗んだり、有名なオークションサイトで「評価が上がった」という内容の偽メールを送り付けて、オークションサイトのログイン・ページに見せかけた偽ページに誘導し、ログイン情報やクレジットカード番号などを盗んだりする事例がありました。
フィッシング対策で企業(サービス事業者)が取り組むべきセキュリティ対策
企業やサービス事業者は、フィッシングサイトとして自社のWebサイトをコピーされたり、会社名やブランド名を悪用されたりすることは、どうしても防ぐことができません。そのため、顧客や一般消費者のフィッシング被害を最小限に防ぐために、自社サイトやシステムへのサイバー攻撃や情報漏洩を防ぐ対策を行うことが求められます。
そこで、被害を出さないために行うべきセキュリティ対策、発生してしまった場合の対応策について解説します。
被害を出さないためのセキュリティ対策
1.Webサイト等での顧客や消費者への啓蒙
自社をよそおってフィッシングメール等を送りつける者がいることを、公式Webサイト等を通じて大々的に情報発信し、顧客や消費者が被害に合わないように啓蒙する必要があります。
また、メールではIDとパスワードの確認をすることはないことを伝えたり、メールを送信するケースとその内容を明確にし、伝えておくことも重要です。
また従業員がそうした被害に合わないためには、セキュリティ教育の実施や対策ソフトの導入が必要です。
2.Webサイト、メール、自社システムの脆弱性の排除
物理的に自社サイトやシステムのセキュリティ対策を行うことも必要です。Webサイト、メール、自社システムの脆弱性を排除しておきましょう。
WebサイトにはSSLサーバー証明書を導入し、サイトの暗号化をするほか、第三者のなりすましによる偽サイトと差別化します。また、ユーザーによるログインが必要なサービスサイトを持っている場合には、ログインする際の認証を強化すること等も必要です。
その他、不正なアクセスの監視やフィッシング詐欺検知に有効なサービスを活用し、迅速に被害発生を検出することも重要です。
メールは、利用者が正規メールとフィッシングメールを判別できるようにする対策が必要です。
企業が送信するすべてのメールに電子署名をつけるといった対策があります。
また、外部送信用メールサーバーを送信ドメイン認証に対応させることや利用者に送信するSMSには国内直接接続の配信を利用するなどの対策もあります。
自社システムやデータベースを守ることも重要です。不正に入手されたIDやパスワードを用いてサービスサイトにログインされ、被害にあうこともあります。サイバー攻撃を防ぐ監視ツールセキュリティサービスを導入し、自社システムのセキュリティを高めておく必要があります。
フィッシング詐欺が発生してしまったときの対応策
フィッシング詐欺が発生してしまったら、次の流れで対策を行うことが、フィッシング対策協議会の「フィッシング対策ガイドライン2023年版」で推奨されています。
1.フィッシング詐欺被害の発見
2.フィッシング詐欺被害状況の把握
3.フィッシング詐欺被害対応の活動
・ フィッシングサイトテイクダウン活動
・ フィッシングメールに対する注意勧告
・ 関係機関への連絡、報道発表
4.生じたフィッシング詐欺被害の回復措置
5.事後対応
2のフィッシングサイトテイクダウン活動とは、フィッシングサイトが属しているIPアドレスブロックを管理しているISPに連絡を取り、フィッシングサイトのテイクダウン依頼を申請することが示されています。
また、国内では一般社団法人 JPCERTコーディネーションセンターでテイクダウン依頼を受け付けているため、並行して申請することが望ましいとされています。
F5ネットワークスのフィッシング対策サービス
フィッシング詐欺への対策を強化する場合に、おすすめなのが、F5ネットワークスのフィッシング対策サービスです。
アプリケーションのデリバリとサービスにおける世界的リーダーであるF5ネットワークスと、アプリケーション詐欺と不正利用の対策における世界的リーダーであるShape Securityが一つになった、包括的かつマルチクラウド対応のアプリケーションセキュリティサービスがF5 Distributed Cloud Servicesです。
両社のソリューションを連携させることで、詐欺や不正利用による被害を防止します。
世界的に多く使用されており、最も攻撃を受けている複数のアプリケーションを、1日に10億回以上の攻撃から保護している実績があります。
「F5 Distributed Cloud Services - Bot Defense」の特徴
F5 Distributed Cloud Services の「Bot Defense」は、ボットや攻撃する人物によるフィッシング詐欺や不正アクセスなどからWebサービスを保護するクラウドサービスです。
特に、従来のセキュリティ製品では検出できなかった高度化した攻撃からも、AIを活用することによって保護することができます。
日々、大手企業にはさまざまな攻撃が仕掛けられていますが、当サービスはその攻撃を排除していることから、膨大な量のトラフィックデータを収集しています。その膨大な量のデータにより、機械学習の精度が向上し、精度の高い解析を可能とします。
まとめ
フィッシング詐欺の被害は年々増加の一途をたどっており、事業者のリスクも高まっています。
あらゆる方面から適切な対策を取る必要がありますが、サイバー攻撃技術は年々、高度化・巧妙化しており、従来の対策では対策しきれない面も出てきています。
フィッシング対策をただ行うだけでなく、強化したいという場合には、高度なセキュリティ対策で護るF5ネットワークスのフィッシング対策サービスがおすすめです。
よくある質問
Q.費用を教えてもらえますか?
A.お客様のWebアプリケーションに合わせた個別見積もりになります。アクティブユーザ数や保護対象のURLの数などにより金額が変動します。
Q. 導入形態はどのようなものですか?
A. Bot Defense は、クラウド型のサービス提供です。ご希望によりマネージドSOCを提供することも可能であり、24時間365日 F5のセキュリティ専門家が監視をおこないます。お客様はSOCチームから報告される攻撃状況を把握し、判断をする運用です。
Q. Webアプリケーションに改修を加える必要はありますか?
A.必要ありません。Bot Defenseは、クライアントの状況や動作を詳細に把握するためにJava Scriptを利用していますが、F5 Distributed Cloud Services のロードバランサーに設定することでJava Scriptは自動で挿入されるため、お客様のWebアプリケーションの改修は必要ありませんので、容易な導入を実現しています。
Q.F5 Distributed Cloud Services - Bot Defenseの特徴は何ですか?
A.最大の特徴は、Java Scriptをクライアントにロードすることにより、クライアントの動作を詳細に把握できることです。詳細にクライアントの振る舞いを把握することで、プログラムによる操作なのか、あるいは人間による操作なのかを正確に把握することができます。そのため、通常では判別できないような、人間による高度かつ巧妙な攻撃を防ぐことができます。
Q.導入事例を教えてください。
A.海外企業の事例ですが、STARBUCKS COFFEE様がご利用いただいています。こちらの動画(英語)をご覧ください。また、日本国内では大手のアパレルメーカー様でご利用いただいてます。
