2022年度上半期におけるフィッシングの増加 – Webサービス事業者が取るべき対策とは?
2022年11月4日に、パートナー企業であるBBソフトサービス様より2022年上半期(2022年4-9月)インターネット詐欺レポート(*)が公開されました。
*https://www.sagiwall.jp/report/2022_firsthalf.html
こちらによると、官公庁やセキュリティ団体から報告された2022年上半期のネット詐欺サイト数は、約21万件で。2021年下半期の約5万7千件から3.7倍に増加しているとのことです。また、インターネット詐欺の手口の構成比では、2022年上半期は、フィッシングが約6割を占めると報告されています。利用者へのフィッシングでID・パスワードが詐取されたのち、犯罪者がWebサービスに対し、正規ユーザーになりすまし、ログインをし、ログインしたサービス内で、サービスの不正利用などをしてくる恐れがあります。
不正ログイン・なりすましログインによる不正アクセスで利用者に被害が及んだ場合、結果としては、以下のようなことが発生し、サービスを提供する事業者様のビジネスにも多大な影響を与えかねません。
Webサービスを提供される事業者様としては、不正アクセス・なりすましログイン等での個人情報漏洩・サービスの不正利用は防ぎたいところかと思います。そこで、サービスを提供する事業者視点での対策について述べてみたいと思います。
まずは、入口のフィッシングメール対策を講じることが重要な対策として挙げられます。
●利用者に対し注意喚起を適切に行う。
●なりすましメールを防止するDMARCやメールにブランドロゴを表示するBIMIの導入などメールセキュリティを強化する。
他に、少し変わった方法として、メール・SMSにURLを記載すること自体を取りやめるといった企業も出てきています。
しかし、ID・パスワードの詐取を完全に防ぐのは困難ですので、犯罪者が正規ユーザーになりすましてログインをしようとするのに対しても、対策が必要です。例えば、なりすましが疑われるログインに対して、追加認証やアクセスの遮断を行うことが考えられます。それには、IPアドレスや、ブラウザの表示言語、タイムゾーン他、端末固有のパラメータを収集・組合せて分析し、犯罪者端末情報の特徴に基づいて検知をしたり、犯罪者に特有の、振る舞いにも着目して検知したりということで実現が可能です。これらの対策は、SecureBrain Scam Radar BDで対応可能です。
クレジットカード情報を詐取されるようなケースでは、たとえ情報を取られたとしても悪用されることを防ぐことができれば、金銭的な被害を防止することが可能です。また、インターネットバンキングにおいても送金を防止することが可能です。金銭に結びつく実質的な被害を食い止めることができれば、攻撃者のモチベーションが下がり、攻撃活動自体が減少していくことにつながる可能性もあります。事業者の皆様による多層的な防御で被害を防止することで、サービス利用者や事業者様のビジネスを守れるのではないかと考えています。対策をお勧めします。
セキュアブレイン製品に関するお問い合わせは、以下よりお願いします。
https://www.securebrain.co.jp/form/service/inquiry_input.html
