「企業が行うべきフィッシング詐欺対策が知りたい」
「自社のフィッシングサイト(偽サイト)から被害が発生したときの責任はどこにあるの?」
など、自社になりすましたフィッシング詐欺が発生したらどうしようと不安を抱いている企業様はいませんか?
フィッシング詐欺とは、送信者になりすましてメールやSMSを送りつけ、リンクから偽のホームページに誘導させてクレジットカード情報やアカウント情報を盗み出す詐欺のことです。
年々その被害は深刻化しており、警察庁やフィッシング対策協議会、なりすましをされた企業から広く注意喚起が行われています。
この記事では、
- フィッシング詐欺でなりすましされやすい5つの企業・組織
- 企業が行うべきフィッシング詐欺対策5つ
- 自社のフィッシングサイト(偽サイト)を発見したときの対処法3つ
などを解説していきます。
自社がフィッシング詐欺のなりすまし被害に遭わないためにも、本記事を一読して、行うべき対策や対処法を理解しておくようにしましょう。
\自社のなりすましサイトの検知・フィッシング対策に!/
目次
【注意】フィッシング詐欺でなりすましされやすい5つの企業・組織
まず初めに、フィッシング対策協議会が発表しているデータをもとに、フィッシング詐欺でなりすましされやすい5つの企業・組織をお伝えするので、自社が該当するかどうかを確認してみてください。
【フィッシング詐欺でなりすましされやすい企業・組織】
- ECサイト運営会社
- 配達会社
- 金融機関・カード会社
- 電力・ガス・水道会社
- フィッシング詐欺対策が不十分な企業
もし、自社が上記に該当する場合、『3. 企業が行うべきフィッシング詐欺対策5つ』は必ず行うようにしましょう。
また、フィッシング対策協議会発表のフィッシング報告件数を見ても分かるように、被害の報告件数が右肩上がりに増加していることが分かるでしょう。
※引用:フィッシング対策協議会
このフィッシング報告件数では、被害件数だけではなく、どんな企業をかたるフィッシング詐欺被害が多く報告されているのかも知ることができます。
2024 年 10 月のフィッシング報告件数は 181,443 件となり、2024 年 8 月と比較すると 33,233 件増加となりました。
Amazon をかたるフィッシングは前月より 1 割強増加し、報告数全体の約 26.8 % を占めました。次いで各 1 万件以上の大量の報告を受領したヤマト運輸、東京電力、JCB、プロミスをかたるフィッシングの報告をあわせると、全体の約 62.6 % を占めました。また 1,000 件以上の大量の報告を受領したブランドは 23 ブランドとなり、これらを合わせると全体の約 96.7 % を占めました。
※引用:フィッシング対策協議会
フィッシング対策協議会がどのような活動をしている組織なのかを知りたい方は、以下の記事で詳しく解説しているのでぜひお読みください。
また、自社のフィッシング対策状況を今すぐチェックしたい場合は、以下の資料をダウンロードしてご活用ください。
\自社のなりすましサイトの検知・フィッシング対策に!/
そもそもどんな目的でフィッシング詐欺を行うの?
フィッシング詐欺は、金品を得る目的で行われ、送信者になりすましたメールやSMSから偽のホームページに誘導してクレジットカード情報やアカウント情報を盗み出します。
また、盗み取った情報は、ダークウェブと呼ばれる闇サイトで売買されることもあります。
ダークウェブについて、詳しく知りたい方は以下の記事で詳しく解説しています。
なお、金品を得る目的で行われるフィッシング詐欺について、イメージがつきやすいように、以下でよくある事例を2つ紹介していきます。
よくあるフィッシング詐欺の事例2つ
よくあるフィッシング詐欺の事例として、
- 本物のECサイトになりすました偽のECサイトを作られた場合
- 金融機関・カード会社になりすました偽のSMSを送りつける場合
の2つのケースを紹介していきます。
本物のECサイトになりすました偽のECサイトを作られた場合
利用者が偽のECサイトでクレジットカードを使って買い物をした場合、利用者には商品が届かないだけではなく、入力した情報が全て盗み取られる被害が発生します。
また、前払いなど商品発送前の支払いしか選択できないようにし、お金を盗み取るケースもあります。
金融機関・カード会社になりすました偽のSMSを送りつける場合
金融機関やカード会社になりすました偽のSMSを送りつける場合、「取引を規制しました」「至急ログインしてご確認下さい」など緊急性をあおる文面でリンクをクリックさせようとします。
リンクをクリックさせて偽のホームぺージに誘導し、アカウント情報や口座番号、クレジットカード情報などを入力させて大事な情報を盗み取ります。
盗み取った情報は、不正送金や不正注文など金品を得る目的で悪用されます。
いずれの場合も、自社が直接的には関わっていないにしても、リスクが全くないわけではありません。
自社へのリスクについては、『4. 企業がフィッシング詐欺対策を怠るリスク4つ』で詳しく解説しています。
なお、以下の記事ではユーザー向けのフィッシング対策や対処法を紹介していますので、本記事と併せて参考にしてください。
【意外!?】フィッシングサイト(偽サイト)から被害が発生したときの責任はどこにある?
なりすましをされた企業が、フィッシング詐欺の被害に遭った顧客の被害金額を負担するということはありません。
ただし、従業員がフィッシングメールに引っかかり、不正アクセスをされてしまうことで顧客の個人情報が漏えいした場合などは損害賠償請求を受けることになります。
また、自社になりすましたフィッシングサイト(偽サイト)から被害が発生してしまうと、
- 顧客からのクレーム対応に追われる
- 利用者からの信頼を失う
- 顧客離れにより売上低下を招く
- 企業のブランドイメージに傷がつく
などのリスクを負うことになります。
このようなリスクを避けるためにも、フィッシング詐欺対策は抜かりなく行うようにしましょう。
企業が行うべきフィッシング詐欺対策5つ
お伝えしたように、フィッシングサイトはあなたの企業にリスクがあるので以下のような対策をしてください。
- 自社を真似たフィッシングサイト(偽サイト)が作られていないかを監視する
- 送信ドメイン認証を利用する
- 定期的にシステムのアップデートを行う
- 従業員のセキュリティ教育を徹底する
- 不正ログイン検知サービスを導入する
フィッシング詐欺対策を万全に行い、自社のなりすましにより大事な顧客が被害に遭わないようにしましょう。
ではそれぞれの対策方法について、詳しく説明していきます。
【対策1】自社を真似たフィッシングサイト(偽サイト)が作られていないかを監視する
まずは、自社を真似たフィッシングサイト(偽サイト)が作られていないかを監視し、作られてしまった場合は被害が発生する前にすぐに削除できるようにしておきましょう。
ただし、自社で監視していくのは労力がかかり、業務効率も悪くなります。
『【対策5】不正検知システムを導入する』でも紹介していますが、不正検知システムを導入すれば人手を煩わせることなく、フィッシングサイトを自動で検知してくれるのでおすすめです。
【対策2】送信ドメイン認証を利用する
送信ドメイン認証を利用することも、企業が行うべきフィッシング詐欺対策の1つです。
送信ドメイン認証とは、メールが正規の送信元から送られているかを検証できる技術のことで、現在「SPF」「DKIM」「DMARC」の3種類があります。
- 「SPF」:メール送信元IPアドレスの妥当性を認証するもの
- 「DKIM」:電子署名を検証することで認証するもの
- 「DMARC」:「SPF」と「DKIM」を組み合わせたもの
特に「DMARC」は、認証に失敗したメールの取り扱いを送信側で指定できるので、「なりすましメールは受け取らない」といった強いポリシーを受信側に実施させることができます。
※引用:警察庁
なお、「DMARC」の設定方法については、以下の記事で詳しく説明しているので本記事と併せて参考にしてください。
\迷惑メール対策に必要なDMARCについて分かりやすく解説/
【対策3】定期的にシステムのアップデートを行う
定期的にシステムのアップデートを行うことで、脆弱性を減少させることができ、フィッシング詐欺対策だけでなく不正アクセスやサイバー攻撃を防ぐ効果もあります。
ついアップデートを忘れてしまうときに備えて、自動更新機能を有効活用するのもおすすめです。
【対策4】従業員のセキュリティ教育を徹底する
従業員に対して、フィッシング詐欺の見分け方を定期的に教育することも対策の1つです。
定期的な教育を行うことで、従業員1人ひとりのセキュリティ意識を高めることが期待できます。
社用パソコンにきたフィッシングメールに引っかかるリスクを抑えることもできるので、定期的にセキュリティ教育は行っていきましょう。
もしフィッシングメールを開いてしまった場合は、以下の記事で対処法を詳しく解説しているのでぜひ参考にしてください。
【対策5】不正検知システムを導入する
フィッシング詐欺対策として、最も効果を発揮するのが「不正検知システム」の導入です。
「不正検知システム」とは、文字通り、不正行為を自動で検知してブロックするシステムです。
人手を煩わせることなく自動で不正行為を検知してくれるので、業務効率向上にも役立ちます。
なお、フィッシング詐欺対策として数ある不正検知システムの中でも、特におすすめするサービスは以下で紹介していきます。
フィッシング詐欺対策なら「鉄壁PACK for フィッシング」がおすすめ
数ある不正検知システムの中でも、フィッシング詐欺対策を万全に行いたいなら、「鉄壁PACK for フィッシング」がおすすめです。
「鉄壁PACK for フィッシング」は、当サイトを運営するかっこ株式会社が開発・提供している不正検知システムで、フィッシングが起こるすべてのプロセスで対策が可能です。
※参考:かっこ株式会社
「大事な顧客をフィッシング詐欺から守りたい」
「企業のイメージに傷がつくのを防ぎたい」
このようにお思いの企業様は、ぜひ「鉄壁PACK for フィッシング」の資料をダウンロード、またお気軽にお問い合わせください。
\自社のなりすましサイトの検知・フィッシング対策に!/
詳細やお問合せはこちら
また、個人向けのフィッシング詐欺対策を知りたい方は、以下の記事でセキュリティ初心者にも分かりやすいように解説しているので、ぜひお読みください。
企業がフィッシング詐欺対策を怠るリスク4つ
企業がフィッシング詐欺対策を怠ると、大事な顧客が被害を受けることになり、被害規模によっては自社への影響も大きくなります。
企業がフィッシング詐欺対策を怠るリスクは、おもに4つあります。
- フィッシング詐欺に遭った顧客の対応に追われる
- 利用者の信頼を大きく失う
- 顧客を失うことで売上低下につながる
- 企業のブランドイメージに傷がつく
自社への影響がどれほど大きいものかを知ってもらうために、それぞれのリスクについて詳しく解説していきます。
【リスク1】フィッシング詐欺に遭った顧客の対応に追われる
これは避けられないことですが、自社のフィッシングサイト(偽サイト)から被害が発生すると、被害に遭った顧客の対応に追われることは避けられません。
なぜなら、顧客はフィッシングサイト(偽サイト)を本物であると勘違いしているため、何かあったときはまずあなたの会社に問い合わせをするからです。
つまり、被害に遭う顧客の数が多いほど、その対応に追われることになり、通常業務に支障をきたすことになるでしょう。
最悪の場合、通常業務ができなくなり、一時休業またはサイトを閉鎖しなければいけないケースも考えられます。
【リスク2】利用者の信頼を大きく失う
フィッシング詐欺の被害に遭ってしまった顧客だけではなく、普段から利用してくれている顧客からの信頼も失うことになるでしょう。
一度失った信頼を取り戻すことは難しいので、『3. 企業が行うべきフィッシング詐欺対策5つ』は必ず行うようにしましょう。
【リスク3】顧客を失うことで売上低下につながる
信頼を大きく失うことは、顧客を失うことにつながり、売上低下を招くことになります。
例えば、ECショップのフィッシングサイト(偽サイト)から被害が発生した場合、ショップへの信頼はなくなり、本物のショップだとしても「このショップはやめておこう」という心理が働きます。
このように、将来的な顧客を失うことで、しばらくの間は売上低下に悩むことになるでしょう。
【リスク4】企業のブランドイメージに傷がつく
自社になりすましたフィッシングサイト(偽サイト)は、一度作られてしまうと、企業のブランドイメージに傷がつくことは避けられません。
顧客や利用者から見れば、「フィッシングサイトを作られてしまう企業=セキュリティ対策ができていない」と思ってしまうからです。
ただし、自社でできる対策には限界があるので、フィッシング詐欺対策として専門のサービスを利用することも検討しましょう。
おすすめするフィッシング詐欺対策専門のサービスは、『2.5 【対策5】不正検知システムを導入する』で紹介しています。
\自社のなりすましサイトの検知・フィッシング対策に!/詳細やお問合せはこちら
自社のフィッシングサイト(偽サイト)を発見したときの対処法3つ
もし、自社のフィッシングサイト(偽サイト)を発見したときは、早急に3つの対処法を行いましょう。
- フィッシングサイト(偽サイト)を削除する
- 警察や関連機関へ報告・相談する
- 公式サイトやSNS上で注意喚起を行う
【対処法1】フィッシングサイト(偽サイト)を削除する
自社のフィッシングサイト(偽サイト)を発見したら、まずは早急に削除することが大事です。
このフィッシングサイト(偽サイト)を削除することを、「テイクダウン」と言います。
テイクダウンを行う方法には、
- サイト運営者自らテイクダウンを実施する
- インシデント対応機関に依頼する
- フィッシング詐欺被害対応事業者に依頼する
の3つの方法があります。
フィッシングサイト(偽サイト)に関連する手続きは手間がかかるため、顧客への対応を優先していると関連機関への連絡が遅くなる可能性があります。
よって、フィッシング詐欺対応の手間を減らすという点から見ても、「フィッシング詐欺被害対応業者に依頼する」のが最もおすすめの方法です。
【対処法2】警察や関連機関へ報告・相談する
警察や関連機関への報告も忘れないように行いましょう。
関連機関とは、「フィッシング対策協議会」のことです。
フィッシング対策協議会は、フィッシングに関する報告のデータを集計し、報告された件数を毎月グラフ化して発表しているので、正確なデータが出せるように必ず報告するようにしましょう。
また、利用者がフィッシングサイト(偽サイト)を発見した場合は、「フィッシング110番」に通報し、同じく「フィッシング対策協議会」にも報告するようにお願いします。
【対処法3】公式サイトやSNS上で注意喚起を行う
自社のフィッシングサイト(偽サイト)を発見したら、【対処法1】【対処法2】を行った後に、必ず公式サイトやSNS上で注意喚起を行いましょう。
「こんな内容の詐欺メール・偽サイトが確認されています」「十分にご注意ください」と注意を促すことで、フィッシング詐欺の被害者を減らすことに繋がります。
どのような注意喚起の文面を作ればいいのか分からない企業様は、以下で文面の作り方を例文つきで紹介しますので、ぜひ参考にしてください。
注意喚起の文面の作り方【例文つき】
最後に、自社のフィッシングサイト(偽サイト)を発見したときの、公式サイトやSNSに載せる注意喚起の文面の作り方を紹介します。
【公式サイトに載せる注意喚起の例】
①タイトル
▶〇〇(自社)をかたる詐欺メール・偽サイトが確認されています、ご注意ください
➁注意を促す文面
▶〇〇(自社)からの送信をかたり、〇〇(自社サイト)の偽サイトへ誘導しお客様情報の搾取を試みるSMSや電子メールが確認されています。
身に覚えのないメールや怪しいメールが届いた場合は、ログイン情報やクレジットカード情報などの個人情報は絶対に入力せず、速やかにメールを削除するようにお願いします。
③実際に確認されているSMS・電子メール・偽サイトの文面を載せる
※引用:みずほ銀行
④「警察庁」「金融庁」「全国銀行協会」「JC3(日本サイバー犯罪対策センター)」など関連機関のフィッシング詐欺に対する注意喚起のリンクを載せる
【SNSに載せる注意喚起の例】
※注意喚起※〇〇(自社)をかたるフィッシング詐欺が確認されています!
「滞納した税金がございます」「取引を規制しました」などの文面がSMSやメールで送られてきても、あせらないでください!そのメールは(自社)をかたるフィッシング詐欺の手口です。リンクをクリックさせて偽サイトに誘導し、あなたから大切な情報を奪おうとします。
▼画像を添付する▼
まとめ
この記事では、企業が行うべきフィッシング詐欺対策や、その対策を怠るリスクから対処法まで幅広くお伝えしてきました。
企業が行うべきフィッシング詐欺対策は5つです。
- 自社を真似たフィッシングサイト(偽サイト)が作られていないかを監視する
- 送信ドメイン認証を利用する
- 定期的にシステムのアップデートを行う
- 従業員のセキュリティ教育を徹底する
- 不正検知システムを導入する
なかでも、不正検知システムの導入は、フィッシング詐欺対策に最も有効であるため、ぜひ企業様には導入を検討していただきたいです。
\自社のなりすましサイトの検知・フィッシング対策に!/詳細やお問合せはこちら
フィッシング詐欺対策としていくつか挙げていますが、
「自社のフィッシングサイト(偽サイト)を作られても責任を負うことはないんでしょ」
とどこか楽観視してしまう企業様はいませんか?
しかし、もし自社のフィッシングサイト(偽サイト)から被害が発生してしまうと、自社への損失が全くないとは言えません。
▼企業がフィッシング詐欺対策を怠るリスク4つ
- フィッシング詐欺に遭った顧客の対応に追われる
- 利用者の信頼を大きく失う
- 顧客を失うことで売上低下につながる
- 企業のブランドイメージに傷がつく
いずれの場合も、自社へ与える影響は想像されているよりもはるかに大きなものなので、フィッシング詐欺対策は必ず行うようにしましょう。
また、従業員のみなさんにおいても、社用パソコンにきたフィッシングメールにより自社への不正アクセスを許してしまい、顧客の個人情報が漏えいしてしまうケースも発生しています。
このような従業員のミスを防ぐためにも、会社全体でフィッシング詐欺の知識を持ち、セキュリティ意識を高めていくことも重要な課題です。
