布施木君、僕のECサイトのアカウントがロックされたぞ

企業で起こりうるセキュリティにまつわるさまざまなトラブルについて、茂礼手課長と部下の布施木さんの会話形式で、わかりやすく説明する本連載。第3回のテーマは「ECサイトのアカウントロックを装うフィッシング詐欺」。茂礼手課長のスマートフォンに、ECサイトのアカウントロックを告げるメールが届いたようです。

ある日のオフィスにて

「利用者の脆弱性」を突いた詐欺行為が蔓延している

茂礼手課長は、フィッシングメールを受信して、偽サイトに誘導されてIDとパスワードを入力してしまった可能性が高いようです。

利用者の多いECサイトやチャットサービス、仮想通貨サービスや金融機関などをかたるフィッシング詐欺が数多く報じられています。情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2017」でも、フィッシングは「インターネットバンキングやクレジットカード情報の不正利用」という名目で、個人の脅威で第1位、組織の脅威で第10位にランクインしています。

最近では、AmazonやApple、LINEといった知名度の高いブランドをかたり「あなたのアカウントが、利用規約に違反する購入に使用されているため、アカウントをロックした」として、ロックを解除するためにリンクをクリックするよう促したり、「アカウントのパスワードが簡単で安全に問題がある」として、アカウントの安全性を高めるために、パスワードを再設定するよう促したりする手口などが確認されています。

リンクをクリックすると、本物そっくりのフィッシングサイトに誘導され、ECサイトやネットバンキングなどのログイン情報(IDやパスワード)、が盗み出される可能性があります。

差出人のアドレスは、本文のドメインに似たアドレスから送るケースがあり、一見すると本物と見分けがつきにくくなっている上、メールの文面も、日本語に違和感がなくなってきています。さらに、偽サイトは本物そっくりに作ってあり、サイトの見た目だけで見分けるのはほぼ不可能です。

IDとパスワード、ネットバンキングの認証情報といった情報は、本人であることを証明する大切な情報です。これが他人に知られたら、自分の口座の預金を勝手に第三者の口座に送金されるかもしれません。また、企業システムの認証情報が漏れたら、社内ネットワークに不正に侵入され、重要情報が外部に盗み出されるかもしれないのです。

こうした被害を未然に防ぐには、パスワードの設定を見直し、「強い」パスワードにすることや、同じパスワードを使い回さないという対策を行うことが大事です。

そして、「メールに記載されたURLは閲覧しない」「個人情報の入力を求めるメールは疑ってかかる」、また「アクセスしたサイトが本物かどうかアドレスバーのドメイン名を目視確認する」といった基本的なフィッシング対策を行うようにしましょう。

ID・パスワードの設定方法、フィッシングに関する注意点については、以下の「セキュリティ7つの習慣・20の事例」も参照してください。

• 習慣3(IDとパスワードを強くしましょう)
• 習慣4(知らない人からのメール・LINE、チャットに注意しましょう)
• 習慣7(万が一、問題が起きた時は早めに連絡・相談をしましょう)