事故から学ぶ

大手ECサイトをかたるフィッシング詐欺が急増 8月には前年同月比5.1倍に

事故概要

業種 ECのミカタ編集部
発生時期 未記載
漏えい人数 情報提供
事故概要

同社の2020年8月度のインターネット詐欺リポートでは、ECサイトをかたるフィッシング詐欺の増加について取り上げられている。それによれは、過去1年間に詐欺ウォールで調査として収集しているECサイト事業者をかたるフィッシング詐欺サイト数は、グラフのようになっており、2020年1月から増加傾向にあることが見てとれる。
5月に減少しているものの、6月に再び増加し、8月には720件と前年同月比5.1倍となった。同社の「詐欺ウォール」で収集したフィッシング詐欺サイトで盗用されていたブランドの上位10件は、7月から継続して上位2位をECサイト事業者が占めていた。また、ヨドバシカメラが上位10位以内に入るのは8月が初となり、今後も増加する可能性があるとし、注意喚起をしている。

スマホに届く偽のSMSに注意、不用意にURLはクリックしない

詐欺ウォールで収集したフィッシング詐欺サイトブランドランキング
主な手口は、社名もしくはブランド名を詐称した偽のメールやショートメッセージサービス(SMS)から、偽のログインページにアクセスさせ、ログイン情報(ID・パスワード)やクレジットカード情報、氏名、メールアドレス、住所などの個人情報を詐取するものだ。特にSMSを利用しフィッシングサイトへ誘導する手口(スミッシング)は、電話番号さえ特定できればメッセージを送信することが可能なため、スマートフォン保有者であれば誰でも標的になる可能性があるという。同社によれば、ECサイト事業者をかたる偽のメールやSMSには、以下の内容が含まれていることが多く、このようなメッセージが含まれたメールやSMSが届いた場合は、メール文面が正規のものであるかインターネットで検索し確認した上で、誘導先のURLにアクセスする必要がある。
・会員個人情報を更新できませんでした
・なお、24時間以内にご確認がない場合、誠に遺憾ながら、アカウントをロックさせていただくことを警告いたします
・お支払い方法の情報を更新してください
・お客さまのアカウントで異常なアクティビティが検出された
・お客さまのアカウントで異常な行為が検出された
・不正なユーザーがあなたのアカウントにアクセスした可能性があります
・お客さまのアカウントにセキュリティー上の問題がある
フィッシング詐欺被害防止チェックポイント
同社がまとめるフィッシング詐欺被害防止のためのチェックポイントは、次の通りだ。
◆メールやSMSで案内されたURLが正規URLかを確認する
メールやSMSメッセージ上のリンクはクリックせず、事前に登録しておいたブックマークから正規サイトへアクセスする。
◆SSL通信が提供されているかどうかをチェックする
個人情報(メールアドレスやクレジットカード番号など)を入力するページのアドレスバーに「鍵マーク」が表示されない場合には、注意が必要。
ECサイトで購入する際に、スマートフォンからの利用が大きく伸びている。こうした利用状況の変化にあわせて、詐欺グループの手口も、その巧妙さを増しているようだ。犯罪者は、各プラットフォーマーやセキュリティサービス提供者の一歩先を行くのが常だが、一般の利用者においても、ポイントを押さえることで、不意な被害から事前に身を守ることが重要となってきそうだ。

引用元 ECのミカタ編集部

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-1(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

近年、不正アクセスの手口も巧妙化しており、日々対応が必要であるが、一般的な対応と専門家に指導を受けたサービス会社での対応の2種類がある。
一般的な対応でも確実に行っていれば大半は防げるが、問題なのは100点を取らないと不正アクセスされてしまう点である。扱う情報の重要度に応じて適切な投資をしてより堅固な対応をタイムリーに行う必要がある。

具体例:

専門家による不正アクセスの原因の調査及び再発防止策等の検討
・不正アクセスをした第三者の特定及び被害の発生・拡大防止のため、警察当局への相談
・外部の専門家の助言も踏まえ再発防止の構築
とあるので、より堅固な対策を講じて頂きたい。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。