岡山大学の事例に学ぶ、サービス事業者が行うべき4つのフィッシング対策

2020年10月8日、岡山大学が「知らせとお詫び」と題して、サーバーがサイバー攻撃を受け不正ログイン被害にあった旨を公表しました。これにより、岡山大学のアカウントから合計14,666件のフィッシングメールの送信が行われたことが公表されています。

公表時点では「個人情報などの重要情報の流出は確認されておらず二次被害報告もない」ということで何よりですが、場合によっては甚大な被害が出ていたかも知れません。

今回のような被害に遭わないために、フィッシング詐欺に関する基本部分と、サービス事業者が行うべきフィッシング詐欺対策について理解しておきましょう。

フィッシング詐欺とは?

フィッシング詐欺とは、インターネットを通じて行われる詐欺行為のひとつです。信頼できるサイトやメールの送信者を装い、クレジットカード番号やアカウント情報(IDやパスワード)などを抜き取ることが目的です。

たとえば、よく使うショッピングサイトから「暗証番号を変更してください」「正しく決算ができなかったのでクレジットカード情報を再入力してください」といったメールが届けば、思わず反応してしまう人は多いでしょう。

釣り針を垂らし獲物が引っかかるのを待つ様は、まさしくフィッシング(魚釣り)のような手口といえます。

フィッシング詐欺のおもな手口

先述のとおり、フィッシング詐欺の目的はユーザーの情報を盗み出すことです。詐欺師のゴールは「偽のサイトに誘導しユーザーの情報をユーザー自らに入力させること」であり、そのためにいくつかの誘導手段を用います。

ここでは、フィッシング詐欺における代表的な手口を3つ紹介します。

電子メールで誘導

フィッシング詐欺の最も典型的な手口は、電子メールやSMSを使ってフィッシングサイトへ誘導するものです。

たとえばクレジットカード会社からのメールに見せかけて、「パスワードの変更をしないとカードが使えなくなります」などと言葉巧みにユーザーを誘導し、ユーザー自身にクレジットカード情報を入力させたりします。

近年ではメールの文面、誘導先のサイトの完成度ともにもっともらしい内容が増え、ひと目見ただけでは判別がつかないレベルになっているため一層注意が必要です。

岡山大学のアカウントが狙われたのは、この電子メールでの誘導に使用する目的であったと考えられるでしょう。

掲示板やSNSで誘導

以前は「掲示板に嘘の情報を書き込みサイトまで誘導する」といった手段が使われていましたが、現在はTwitterをはじめとするSNSもフィッシング詐欺に悪用されています。

例としては「公式からのメッセージを装う」「有名人のアカウントになりすます」などの方法でリンクを送り、ユーザー情報を聞き出そうとするケースが見られます。

本物そっくりなURLに見せかけてアクセスを誘導

上記2つの手口を読んで、「URLやドメインを確認すれば問題ない」と考える人もいるかもしれません。もちろんそれも有効な対処法ですが、詐欺師はそれを見越して本物そっくりなURLを使用するようになっています。

たとえば「o(オー)と0(ゼロ)」「i(アイ)とl(エル)」などを混合させ、ぱっと見ただけでは判別できないようにしているのです。そのほか短縮URLを用いる場合もあり、URLの確認だけではフィッシング詐欺を防ぐことは難しい状況です。

サービス事業者が行うべき4つのフィッシング詐欺対策

サービス事業者がフィッシング詐欺に利用されてしまった場合、企業の信頼が落ちるだけでなく、顧客を被害者にしてしまったり、被害者への補償が必要になったりするケースも考えられます。

ここまでの内容を踏まえ、サービス事業者が最低限行うべき基本のフィッシング詐欺対策を4つ紹介します。

電子署名を用いる

電子署名とは、オンラインでの書類作成やメール送信時などに「本人性」を担保するためのシステムです。

たとえばMacやiPhoneであれば電子署名の入ったメールには「✓」マークがつくため、ユーザーは本物か偽物かの判断がしやすいでしょう。(※メールソフトによって表示は異なります。また対応していないメールソフトもあります)

この際に重要なのが、送信するメールすべてに電子署名をつけることです。一貫した対応を続けるからこそ、ユーザーが署名のないフィッシングメールを見た時に疑いをもつことができます。

なお、電子署名を入れるには、認証局で手続きを行い交付を受ける必要があります。

Webサイトの安全性を確保

保有するWebサイトに脆弱性がないかをチェックすることも重要です。

近年は「クロスサイトスクリプティング(XSS)攻撃」によるフィッシング詐欺が増えています。これはWebサイトの入力フォームに悪意のあるスクリプト(実行文)を埋め込み、不正な書き込みをしたり個人情報を盗み取ったりするサイバー攻撃の一種です。

クロスサイトスクリプティング攻撃を防ぐには、ファイアウォールやIDS(侵入検知システム)の設置が有効です。自社だけでは対策が難しい場合は外部のセキリュティ専門機関なども活用し、正規サイトの安全性をしっかり確保しておきましょう。

対策ソフトの導入と徹底

業務で使用するあらゆるデバイスにはセキュリティソフトを導入しましょう。これにより、安全性の低いサイトやウイルスメールが検知できるようになります。

従業員がウイルスやスパムの被害に遭ってから導入するのでは間に合いません。ハード面での対策は速やかに実施し、対策ソフトもつねに最新状態に保っておくことが大切です。

また、セキュリティソフトには「フィッシング詐欺の疑いがあるリンクへのアクセス遮断」「検索結果に表示されたサイトの安全性をチェック」などの機能も含まれています。セキュリティソフトの導入によって、社内の誰もが安心してネットに接続できる環境を作っておきましょう。

サイバーセキュリティについての教育

岡山大学のインシデント報告によると、フィッシング詐欺に利用されてしまった原因には「教員の1名がメールアカウントに安易なパスワードを設定していたこと」があるようです。

このような被害を防ぐには、サイバーセキュリティについて「どのような二次被害や対策があるのか」を従業員に教育し、ひとりひとりのリテラシーを高めなければいけません。この点が改善されない限りは組織としてつねに危険性をはらんでいる状態となり、抜本的な防止策を立てることは難しいでしょう。

従業員に教育を行う方法としては、セキュリティ関連企業が主催するセミナーに参加させたり、eラーニングなどを活用して定期的な研修を受けさせたりする方法があります。自社で教育を行う際には、フィッシング対策協議会より「フィッシング対策ガイドライン」が公開されていますのでそちらを参考にするとよいでしょう。

まとめ

今やクラウド化やAIをはじめ、情報共有の効率化や業務の自動化が事業の成否を握る重要なキーワードであることに疑いようはありません。進化する新技術の利便性ばかりに目が行きがちですが、インターネットの活用には「情報漏えい」や「アカウントの乗っ取り」などのリスクがつねにつきまとっています。

ハード面での対策不足や従業員の「気の緩み」から発生した小さな出来事が、企業に深刻なダメージを与えてしまうことも十分に考えられるでしょう。年々巧妙になる手口から身を守るために、過去の被害から学び、詐欺師の手口を知ったうえで効果的な対策を講じていきましょう。

最新のアドフラウド調査レポート 2020年上半期 ダウンロード