事故から学ぶ

偽メールで個人情報取得=「ペイペイ」詐欺容疑で男再逮捕-愛知県警

事故概要

業種 スマートフォン決済サービスの「ペイペイ」
発生時期 2019/06/12
漏えい人数 未発表
事故概要

スマートフォン決済サービスの「ペイペイ」を不正に使用し商品を詐取したとされる事件で、愛知県警は詐欺容疑で栃木県那須塩原市の無職の男を再逮捕した。同事件で悪用されたペイペイのアカウントは、大手宅配会社を装った偽メールで盗み取られた個人情報を基につくられていたことが新たに分かった。
県警によると、スマホに佐川急便をかたるショートメールが届き、本文のURLをクリックすると個人情報を抜き取られる仕組みだった。ペイペイを利用していない人でも勝手にアカウントをつくられていた。

引用元 JIJI.com

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-3 (第20条)安全管理措置 パソコン設定

チェックリストにある要求ルール:

利用中のウェブサービス(インターネットバンキング、ソーシャルネットワーキングサービス(SNS)、ウェブメール、カレンダーなどインターネット経由で利用するサービスの総称)、クラウドサービス(サーバ等のレンタルや運用サービス、決済サービス等)や製品メーカーが発信するセキュリティ注意喚起を確認して社内共有するとともに、専門家の意見を踏まえた防御策を構築と監視をしていますか?
新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか?

■ 推奨対策

対策:

比較的新しい手口であるが、すでに蔓延し始めている。URL付きの場合URLを開くな、というインフォメーションが出ているが、URLを開くのが日常化していること、さらに佐川急便の不在通知、という条件が整うと、URLをクリックしてしまうという心理を付いた手口である。佐川急便にも対策を講じてもらいたい事案である。

具体例:

個人アカウントは各自で管理する以外ない。パスワード変更なども必要であろう。企業が利用しているITサービスでの安全性確認は、既知の問題に対する確認しかできない。従って確認者の知識向上が不可欠になるが、ここに力を入れる企業が少ないのも問題である。せめてニュースに取り上げられるサイバーアタックのキーワードだけは必ず押さえておき、利用しているクラウドサービス担当者とセキュリティ対策について、責任ある回答を常に得ておくべきであるし、セキュリティセミナーなどにも積極的に参加させなければならない。職員教育とは「個人情報を守りましょう」という研修だけではないことを、職場の幹部自身が理解しなければならない。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。