今日、IT技術はエンタメからビジネス、果ては防災や医療などの人命救助に関わる現場など、幅広い領域で使用されています。
このことからわかるように、IT技術は社会をより便利にしており、多大なメリットを社会に与えていますが、必ずしも良いことだけという訳ではありません。
IT技術は犯罪にも使用されており、その手口も日々巧妙になっています。日常的にIT技術を使用している現代人であれば、どのような手口が存在しているのか、知っておく必要があります。本記事ではその手口の1つであるフィッシング詐欺について解説します。
2014年 大学在学中にソフトウェア開発企業を設立
2016年 新卒でリクルートに入社 SUUMOの開発担当
2017年 開発会社Jiteraを設立
開発AIエージェント「JITERA」を開発
2024年 「Forbes 30 Under 30 Asia 2024」に選出
フィッシング詐欺とは?手口と特徴
フィッシング詐欺とは、実在する企業や団体などに成りすまして個人にメールなどを送り、金銭やアカウントIDやパスワード、クレジット番号などの個人情報を盗む行為のことを言います。
メールには、アカウントの期限が切れている、若しくは料金が未払いである旨が記載され、同じメールに記載されているURLにアカウントのパスワードやクレジットカードの番号を入力するように促す文章が記載されています。
フィッシング詐欺のメールか否かを見極めるには、まず文章と送り主をチェックすることがあげられます。文章の中の企業名の大文字小文字がいつもと違ったり、送り主のメールアドレスがいつも使用しているメールアドレスと異なれば、フィッシング詐欺の可能性が高いです。
また、メールが送られてきた段階で関係する企業や団体に直接電話することも重要です。この時、メールに記載されている電話番号に電話しても、詐欺師に繋がる可能性が高いので、絶対に電話してはいけません。必ず、別途検索エンジンなどで調べましょう。
フィッシング詐欺の事例紹介
フィッシング詐欺の恐ろしい点の1つは、誰もが知る有名な企業や組織を語っている点にあります。
誰もが知る有名な企業や組織を語ることによって詐欺のターゲットが広がるだけでなく、こんなに立派な企業や組織が言うのであれば何か理由があるのだろう、と不用意に信用してしまう人も多くなる事です。
そしてその結果として、詐欺によって生じる実害の範囲が拡大してしまいます。この章では、フィッシング詐欺の事例を紹介して、フィッシング詐欺への理解を深めていただきます。
JR西日本をかたるフィッシング
JR西日本では多数のフィッシング詐欺のメールを確認しており、その中の1つには、インターネットの列車予約サービスであるClub J-WEST(現在の名称はWESTER)のアカウントに関するものです。
このメールではアカウント認証をするように促すような文章と、個人情報を入力するためのURLが記載されています。URLはアカウントのIDやパスワードだけでなく、クレジットカードの各種の情報や住所などの汎用的な個人情報を入力するためのページに遷移します。
また、このWebページは非常に精巧に作成されており、本物と見まがうクオリティだったことも特徴の1つです。
内閣府を装うフィッシング
内閣府を装ったフィッシング詐欺も確認されており、そこではマイナンバーに関連したサービスであるマイナポータルが悪用されてしまいました。
このメールでは昨今盛んに報じられている物価の高騰対策のための5万円の給付を案内していました。メールの内容自体が昨今話題になっており、実際に現金の給付も政府から行われたため、騙される確率が他に比べて高いものとなっております。
実際の給付の手続きの際には、同一人物への給付を防ぐためにもメールで無作為に一斉送信などという方法を使うことはなく、自信が住んでいる自治体の役所やそのWebサイトに自分で訪問して手続きを行う必要があります。
メルカリをかたるフィッシング
近年、Web上での中古品の売買を事業の中心に据えて業績を急成長させているメルカリは、営んでいる事業がBtoCのWebビジネスということもあり説得力を与えやすいからか、フィッシング詐欺にも悪用されています。
確認されているフィッシング詐欺にはアカウント認証のお願いなどの他に、アカウントの停止など、緊急性を要するかのようなメールもありました。
緊急性が高いこと、ペナルティが重くなることをユーザーに通知して、詐欺かどうかを調査、考察する時間と余裕を奪って、正常な判断をユーザーに難しくします。従って、このようなメールはフィッシング詐欺のメールの中では特に注意が必要になります。
フィッシングにおける企業が直面するリスクと対策
フィッシング詐欺は一般的な消費者にとって脅威となる存在ですが、それはビジネスを展開する企業側にとっても同様です。実際に、フィッシング詐欺に騙されて金銭や情報を搾取されて損害を被った企業はいくつもあります。
また、企業がフィッシング詐欺に騙されてしまった場合、一般的な消費者とは比べ物にならない被害になる可能性が大きく、当事者以外にも影響を与えてしまう可能性が高いです。この章では、企業におけるフィッシング詐欺のリスクについて解説します。
中小企業におけるリスクと影響
フィッシング詐欺のリスクでまず考えられるリスクが、金銭に関するリスクです。中小企業は多くの場合、只でさえ金銭的に余裕がありません。そこから更にお金が減ってしまっては、ビジネスの存亡に関わると言っても過言ではありません。
次に考えられるリスクとして、信用があげられます。もしも自社の従業員や顧客の個人情報を流出させてしまった場合、こんなに迂闊な企業と付き合ってしまってはこれから何があるかわからないと思われ、顧客が離れてしまいますし、自社の従業員でさえそのように思われて離職してしまう可能性が高いです。
また、そもそもフィッシング詐欺に騙されてしまったというだけで、自社の社員に対する教育体制や素養を疑われ、世間からのイメージを悪くしてしまいます。
このようにフィッシング詐欺には様々なリスクがあるため、企業側としてはある程度のお金をかけてでも、その防止に力を入れなければなりません。
効果的なセキュリティ対策
企業側が行える効果的なセキュリティ対策として、自社の社員にフィッシング詐欺とはどのようなものなのか、研修を行うことが第一にあげられます。そもそもどのようなものなのかがわからなければ、なぜこのような研修を行うのかの目的が理解できないですし、研修が終わっても真面目に対策を実行しない可能性が高いです。
また、研修と併せて、責任の所在を明確にしておくことも重要になります。フィッシング詐欺による被害を防ぐには、末席の従業員も含めて社内が一丸となって取り組む必要があるため、他人事で済ませている人物を1人でも許すわけにはいきません。
従って、フィッシング詐欺の研修を行うのと同時に、社員に対してもしフィッシング詐欺が発生し、その責任が当該の社員にある場合は、責任の一端を背負わせる可能性を示唆することで、当事者意識を持たせる必要があります。
他にはメールのフィルタ機能に、「アカウント」「期限切れ」など、フィッシング詐欺によく使われる言葉を設定し、該当のメールを抽出することも有効な手段です。
企業内教育とフィッシング詐欺への対応策
前述した様に、フィッシング詐欺による被害を防ぐためにも、企業内での社員への教育は非常に重要になります。
企業がフィッシング詐欺の被害を被る際、多くの場合では会社の経営陣や従業員が社内のメールアカウントに届いたフィッシング詐欺のメールを不用意に開いてメール内のURLをクリックしたことが発端となっています。
従って、企業内の人間に対して適切な研修や教育を行えれば、フィッシング詐欺のリスクをかなり低くすることが可能になります。
社員教育の重要性
冒頭でも紹介した通り、企業がフィッシング詐欺の被害にあう際、発端は社内の人間である場合が多いです。たった1人の不用意なミスが、会社の存続を揺るがす事態を誘発しかねないため、自社の社員にはそのリスクについて、研修でまずは徹底的に教え込む必要があります。
そして研修の際にはフィッシング詐欺のリスクに加えて具体的な手法や特徴を教えて、そもそもそのような詐欺に騙されないための方法を教えることが重要ですが、万が一騙されてしまった時の事後策についても教えておくことも重要です。
事後策についても予め考えておくことで、リカバリに至るまでの時間を最短にして、被害を最小限にすることが可能になります。
また、研修は月に1度程度の頻度で定期的に行う必要があります。定期的に研修を行うことで従業員に、フィッシング詐欺への警戒心を常に持たせることが可能になります。
フィッシング詐欺の防止は個人任せにせず、企業全体で組織的に行うことで効果を最大限に発揮することができます。
フィッシング対策トレーニングの実施
フィッシング詐欺の防止のための研修は定期的に行う必要があると書きましたが、同時にトレーニングについても定期的に行うことがあります。
会社側が疑似的なフィッシング詐欺のメールを事前告知なしで社内に流すことで、自社の社員にフィッシング詐欺の防止の実地訓練を積ませることが可能になります。
また、この疑似的なメールに騙されてしまった社員に対しては個別に再研修を行ったりすることで、効率良く社内のセキュリティ意識と体制を強化することも可能になります。
勿論、フィッシング詐欺のリスクの内容や手口についても定期的な研修で周知することも非常に重要です。
特に手口については、フィッシング詐欺に限ったことではありませんが、犯罪の手口は日々巧妙になっているため、定期的に社内の情報をアップロードして最新の犯罪にも対処できるようにしておくことは非常に重要です。
フィッシング詐欺の対策は受験勉強や資格の勉強と同じく、インプットとアウトプットの両方を定期的に行うことが重要です。
フィッシング詐欺防止のための技術ツール
フィッシング詐欺の防止は個人の注意力や組織の体制などのマンパワーだけでなく、テクノロジーの力も有効になります。多くのIT企業がこのような状況に指をくわえている訳ではないため、フィッシング詐欺の防止のためのツールに関しても、多くの種類が存在しています。
全てのツールが無料、若しくは安価で使えるとは限りませんが、フィッシング詐欺に遭遇した時の被害の大きさを考えれば、それらに投入する投資の額は決して高いとは言えません。
メールセキュリティシステム
フィッシング詐欺の防止のためのツールの1つは、メールセキュリティシステムです。前の章でも話したように、フィッシング詐欺のメールの文章には、使用される文言などにある程度共通の特徴がみられるため、それらの言葉が含まれるメールを自動で削除、若しくは別フォルダに移動するシステムを導入することで、リスクを最小限にすることが可能になります。
またそれだけでなく、「@」以降の文字列にルールを設け、そのルールに当てはまらないメールの流入そのものを拒否する、若しくはルールに当てはまったものを拒否することも可能にできます。
これらの機能やルールを幾重にも張り巡らせることで、フィッシング詐欺のメールが社内に流入するリスクを限りなく0に近づけることが可能になります。フィッシング詐欺は結局のところ、該当のメールを見もしなければ被害にあうことはないため、最初から閲覧さえさせないようにすることは非常に有効です。
ネットワークセキュリティの強化
もし仮にフィッシング詐欺のメールが社内に流入し、メールの中のURLをクリックしたとしても、情報を入力させるためのサイトまで遷移させなければ被害を防ぐことができます。そのためにはネットワークセキュリティを強化する必要があります。
具体的には、社内から社外のインターメットへの接続と社外のインターネットから社内の機器への接続の窓口を一本化する、所謂プロキシサーバを導入することです。このプロキシサーバのアウトバンド、つまり社内から社外のインターネットへの接続先を、予め許容されたサイトに限定することで、フィッシング詐欺の被害を防ぐことができます。
ただこの方法を採用した場合、社内から社外のインターネットへの接続先が限定されるため、業務で出た不明点の調査などの作業に支障をきたす場合が多いです。
従ってこの方法を導入する前に、社内での業務の実態を調査したり、社内FAQなどのサイトを立ち上げて、社外のサイトに接続できなくなっても業務に支障をきたさないようにするなどの対策を取る必要があります。
まとめ:フィッシング詐欺対策でセキュリティを向上
フィッシング詐欺を未然に防ぐためには、社員1人1人の意識と知識がまず必要になります。フィッシング詐欺とはどのようなもので、どんなリスクがあるのかをまず知ったうえで、テクノロジーを補助的に使うべきです。
しかし、今現在社内にIT技術やフィッシング詐欺に精通している人材がいないと、悩んでいる方も多いと思います。そのような方は株式会社Jiteraにまず連絡してみることをお勧めします。
株式会社Jiteraはソフトウェア業界で長い経験があり、知識も豊富であるため、フィッシング詐欺などのサイバー犯罪の防止についても有意義なアドバイスができる可能性が高いです。もし株式会社Jiteraに興味を持たれた場合、こちらのリンクにアクセスしてください。
メールマガジン登録
