不正検知を手掛けるかっこは6月30日、情報詐取の手段であるフィッシングメールのほか、詐取した個人情報で行うなりすましログインをワンストップで対策できるパッケージ「鉄壁PACK for フィッシング」の提供を開始した。O-MOTIONの川口祐介事業部長に、新サービス開始の背景とフィッシング詐欺に関する最新状況について聞いた。
──「フィッシング詐欺」の現状について聞きたい。
フィッシング詐欺は、インターネット上で個人情報を不正に入手する手口の一つだ。2022年の日本国内におけるフィッシング報告件数は96万件超と2017年からの5年間で約100倍に急増し、被害が深刻化している。フィッシング詐欺による被害は、個人情報の漏えい、インターネットバンキングでの不正送金、クレジットカードの不正利用など、多岐にわたって発生している。
2020年以降で見るとコロナ禍に伴いEC化、DX化が進んだのをきっかけに、それまでネットを使ったことのないユーザーが増えたことで、フィッシング詐欺の件数も増えた。
クレジットカード情報の非保持化という観点で言うと、以前はECサイトのデータベースを狙えば良かった。しかし、非保持化となった現在、ECサイトはクレジットカード情報を持っていない。不正者は直接ユーザーからデータを盗み出すという手口に変わってきた。
──フィッシング詐欺の手口も巧妙化している。
2段階認証まで突破できてしまう「リアルタイムフィッシング」と呼ばれる手口がある。本物そっくりのサイトでのログイン時にワンタイムパスワードまで求められ、入力情報がリアルタイムで不正者によって本物のサイトに入力されるため、リテラシーのある人でも気が付かないこともある。遷移先URLをきちんと見れば分かることもあるが、実際に見分けることが難しいケースも出てきた。
従来はユーザー側への注意喚起が主な対策だったが、事業者側での対策も必要になってきている。不正アクセスを受けることで個人情報の漏えいリスクに加え、ユーザーからすれば企業も加害者となり、フィッシング詐欺を受けた企業の責任が問われるケースも出てきている。SNSで拡散されることで、風評被害のリクスもある。すでに大手企業では「ブランドプロテクション」という考え方で対策を講じているところも出てきている。
──「鉄壁PACK for フィッシング」のサービスについて聞きたい。
「フィッシングメール対策支援」「フィッシングドメイン検知」「なりすましログイン検知」の三つのサービスが月額15万円から利用が可能だ。さらに、「複数要素認証」、「テイクダウン(停止措置)代行」、不正注文検知サービス「O-PLUX(オープラックス)」などのオプションサービスをリスク状況や予算に応じて選択することで、利用しやすい価格で網羅的なフィッシング対策が可能となる。
──不正アクセス検知サービス「O-MOTION」については?
正しいID・パスワードによるアクセスであっても、そのアクセスが本当に本人によるものであるのか、不正者による不正アクセスなのかについて、リアルタイムに検知するクラウドサービスだ。他人のID・パスワードを使った不正者のなりすましや自動プログラム(Bot)による総当たり攻撃を検知し、ECサイトにおいて、不正アクセスや不正ログイン対策に活用できる。
フィッシング詐欺の対策はどれか一つをやっておけばいいのではなく、網羅的に対策することで効果が発揮できる。仮に自社で対応しようとしても、専門スタッフが対応する必要があるため、運用面や生産性に課題がある。限られた人材で対応するよりも、当社のようなサービスを利用できることで、ECサイトのブランド棄損を防ぎ、ユーザビリティーの向上につなげてほしい。
実際には被害に遭わないと不正対策をしないEC企業も多いのが現状だ。不正対策は重要だが、緊急ではない案件とされている。当社としては、予防をしていかなければならない事態であることを広く啓蒙していかなければならない。
<2023年7月27日(木) 14:00-15:00開催>
「フィッシング攻撃に翻弄されない!DMARCと併せて強化するセキュリティ対策ウェビナー」
https://frauddetection.cacco.co.jp/seminar/20230727.html
