「お客さま宛にお荷物のお届けにあがりましたが、不在のため持ち帰りました。下記よりご確認ください」──こんなメールやSMSを受け取ったことはないだろうか。とくにコロナ禍以降、インターネットショッピングの利用が急増し、注文した記憶のない荷物が届くこともめずらしくないなか、つい確認してしまいがちだ。

しかしその中には、大手物流会社を装ったフィッシング詐欺も多く存在する。リンク先で個人情報やクレジットカード情報を入力させ、不正に取得する手口だ。近年では、AI技術の発展により巧妙化が進んでいる。

こうした攻撃者のなりすましに対し、多くの企業は一時的な注意喚起で終わりがちだ。しかし佐川急便は違う。2012年から10年以上にわたって、44件もの詐欺事例を削除せずに公開し続け、第10回情報セキュリティ事故対応アワードで審査委員長特別賞を受賞した。

なぜ継続するのか。どんな体制で対応しているのか。佐川急便 東京本社 デジタル企画部 部長の川村博之氏、同 デジタル変革推進担当部長の田中嘉一氏、同 ITシステム企画課 係長の太田亨宣氏のインタビューから、「お客さまに迷惑をかけない」を大切にしながら闘い続ける組織の内側に迫った。

  • (左から)佐川急便 東京本社 デジタル企画部 部長の川村博之氏、同 デジタル変革推進担当部長の田中嘉一氏、同 ITシステム企画課 係長の太田亨宣氏

きっかけは2012年、顧客からの問い合わせが原点

佐川急便がホームページ上でフィッシング詐欺メールへの注意喚起を始めたのは2012年。同社を装った詐欺メールや電話が確認されたことがきっかけだった。当時から、ホームページの目立つ場所に情報を掲載し、過去の事例もアーカイブとして残すという方針を貫いてきた。その理由は極めてシンプルである。「お客さまを守りたい」という一心からだ。

「『これは本物のメールなのか』といったお問い合わせが非常に多かったのです。ホームページで情報提供することで、お客さまご自身である程度ご理解いただき、自衛していただくことが重要だと考えました」(田中氏)

過去の事例を蓄積し公開し続けるのも、「一度発生したフィッシングメールが、時間を置いて類似した手口で再発するケースがあるため。宅配事業者を騙る手口は、文面などを少しずつ変えながら繰り返し発生する。過去の類似例を掲載しておくことで、お客さまが『このパターンは詐欺メールに近いかもしれない』と気づく一助になれば」(田中氏)という、顧客視点に立った配慮からだ。

実際に佐川急便の注意喚起ページには、多種多様な手口の事例が掲載されている。こうした状況に対し、ときには「佐川急便のせいで自分のコンピューターがおかしくなった」といった誤解に基づく声も寄せられるという。それでもなお、「『このような詐欺が存在します』という事実を知っていただくこと、そして正規のメールとの違いに気づいていただくことが、お客さまの被害を防ぐ第一歩。こうした丁寧な対応こそが、結果的に当社のブランド価値を守ることにもつながると信じている」と田中氏は力強く語る。

巧妙化する手口、変化するフィッシング詐欺の動向

10年以上にわたる注意喚起のなかで、フィッシング詐欺の手口は変化してきている。特に近年の巧妙化は著しいという。

「以前は、どこか日本語がおかしかったり、不自然な翻訳だったりして、一目で怪しいと分かるケースも少なくありませんでした。しかし最近では、正規のドメインに見せかけたり、日本語の文章構成も非常に自然だったりするものが増えています。ITシステムに詳しい人間でも、一瞬見間違えてしまうような巧妙なものも出てきているのが現状です」(田中氏)

「これまでは『SSL証明書の鍵マークを確認してください』とお客さまにお伝えしていましたが、最近はその鍵マークまで偽装されることがあり、さらに見分けが困難になっています」(川村氏)

メールだけでなく、SMSを使ったスミッシング攻撃も増加している。同社が本来活用したいSMSでの配達通知も、詐欺との区別が困難になったことで実現できずにいる状況だ。

スピードと具体性を重視した情報発信の工夫

このような状況下で、佐川急便が情報発信において最も重視しているのは「スピード」と「具体性」だ。

佐川急便のサイトでは、具体的な手口の画像を多数掲載し、顧客への注意喚起を行っている。新しい手口が確認されれば、情報検知の翌日にはホームページのトップに掲載できるよう努めているという。

フィッシングメールの情報検知体制については、「お客さまからのお問い合わせや、従業員からの報告に加え、外部の監視サービスも利用している」と田中氏。太田氏も「SNSでの情報収集も行っている。日々、多くの方が『佐川急便を騙るメールが来た』といった情報を投稿されており、それらの件数が急増した場合は、新たな手口が発生した可能性が高いと判断できる。さまざまなルートから同様の情報が入ってくることで、迅速な対応につながっている」と補足する。

徹底した教育と情報共有体制

フィッシング詐欺を騙られる側としての対策は、ホームページでの注意喚起に留まらない。その根幹を支えるのは全従業員であり、それを具現化するための徹底した教育・情報共有体制だ。

田中氏は「何よりも従業員への周知徹底が重要だ。お客さまからのお問い合わせは、営業所やセールスドライバーなど、全国のあらゆる窓口に寄せられる。そのため、全従業員がフィッシング詐欺に関する一定の知識を持ち、お客さまに適切な説明ができるよう努めている」と、全従業員を対象とした包括的な教育体制の重要性を説く。

その手段として、佐川急便では、全従業員に対して年2回のeラーニングによる情報セキュリティ教育を実施。100%の受講率を実現している。

「情報セキュリティ教育は半年に一度実施しており、繰り返し行うことで知識の定着を図っています。内容は基本的なものですが、いざというときに冷静に対応できるよう、反復学習が重要だと考えています」(太田氏)

「実際に、従業員宛に訓練用のフィッシングメールを送信し、開封してしまった場合に適切な報告がなされるかといったチェックも行っています」(川村氏)

この継続的な教育の効果は数字にも表れている。初期には多くの従業員が訓練メールを開封していたが、現在は数パーセント程度にまで減少。さらに重要なのは、開封してしまった場合でも適切な報告を行う従業員がほぼ100%になったことだ。川村氏は「報告しない従業員がいないという事実は、開いてしまってもその後の対応の必要性を理解していることを示している。従業員のセキュリティ意識は、着実に進歩してきている」と評価する。

全国約500拠点4500名にのぼるカスタマーサービスの担当者への情報共有も迅速だ。太田氏は「社内チャットを通じてリアルタイムで注意喚起情報を共有している。新しい手口が確認された場合など、全国の従業員に迅速に情報を伝達できる体制を構築している」と説明する。

まさに全社一丸となった取り組みが、顧客を守る防波堤となっている。

継続の原動力は「お客さま第一」という信念

今回の受賞について、同社では「特別なことをやってきた感覚はなかった」としながらも、10年以上にわたる取り組みへの確信を新たにしている。川村氏は「今後ももちろん続けていく。何よりもお客さまにご迷惑をおかけしないことが最優先」と、今後も継続していく意向を示した。

また、太田氏は、業界全体で脅威に立ち向かう必要性を訴える。

「宅配事業者だけでなく、鉄道会社や航空会社など、さまざまな業界の企業が連携し、利害関係なく協力し合える体制を築くことが理想です。セキュリティ対策は、個社で閉じるのではなく、業界全体で知見を共有し、ベンダー企業なども含めて取り組んでいくことで、より効果的な対策が打てるのではないでしょうか。我々も交通ISACなどを通じて情報共有を行っていますが、こうした動きがさらに広がっていくことを期待しています」(太田氏)

なりすましメールによるフィッシング詐欺への対策は、事後対応しかできないという限界があるのも事実だが、佐川急便の事例は、継続的かつ組織を挙げた取り組みがブランド価値の向上と顧客との信頼関係構築につながることを示している。技術の進歩とともに巧妙化する脅威に対し、組織や業界全体で取り組む姿勢が、今求められている。