セキュリティの
学び場

サービス提供者もフィッシング対策が必要

フィッシングとは、犯罪者が本物の企業や組織を騙り、Webアプリケーションやサイトの認証情報、またはそれらの利用者の個人情報を詐取しようとする詐欺行為です。IPAが発表した「情報セキュリティ10大脅威」の個人向けの脅威として「フィッシングによる個人情報等の詐取」は2019年から毎年ランクインしています。そのため、フィッシング対策は個人で行うものと思われがちですが、実はサービス提供者もユーザーのフィッシング被害を少なくするためにできる取り組みがあります。

＜ 参考リンク ＞
情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

＜対策その１＞ ユーザーが本物と偽物を判別できる仕組みの構築

フィッシングの多くは、攻撃者が用意した偽のメールやSMS経由で、ユーザーが偽のサイトに誘導され、認証情報や個人情報を入力することで被害に遭います。そのため、サービス提供者としては、ユーザーが受け取ったメールやSMS、ユーザーがアクセスするサイトが本物かどうかという点を、ユーザー自身が確認することができる仕組みを構築することが大切です。

具体的にはメールの認証技術であるDMARC（Domain-based Message Authentication, Reporting, and Conformance）やBIMI（Brand Indicators for Message Identification）を導入することが挙げられます。DMARCは世界的にも政府関連ドメインでの導入が強く推奨されており、日本でも多くの企業が導入し始めてることから、急速に普及し始めています。またBIMIは、ブランドアイコンによって、ユーザーが視覚的に本物と偽物か判別するのに有益であると考えられています。

利用者が偽サイトを判別する方法として「リンクではなくブックマークからサービスを利用しましょう」という注意喚起があります。サービス提供者が可能な対応として、これをさらに推し進めた「重要操作はスマホアプリで提供する」という方法があります。これにより、偽サイトを介した不正操作を防止できます。

＜対策その２＞ パスワードに依存しない仕組みの提供

フィッシングではユーザにパスワード等や認証コード等を入力させることでアカウントの奪取やサービス不正利用（不正送金など）を試みます。この対策として、パスワードに依存しない認証の仕組みを提供する事が挙げられます。

代表的なものとして「パスワードレス認証」と呼ばれる仕組みがあります。導入に多少のハードルがあるものの、パスワードレス認証として注目されているFIDO(Fast IDentity Online) や パスキーの導入はフィッシング対策に効果的です。

＜対策その３＞ 保有するドメインの管理と脅威の把握

サービス提供者として、自社の保有するドメインを重要な資産と考えて管理することが大切です。

フィッシングに利用される偽のサイトの多くは、ユーザーが気付きにくいよう本物のドメインと似ているものが使われます。自社ドメインと似ているなど、フィッシングに利用される可能性があると思われるドメインは日頃から把握してくことが重要です。そのような取り組みを行うことで、フィッシングに利用されていると思われる偽サイトを検出し、偽サイトの閉鎖などの素早い対応をとることが可能になります。また、キャンペーンサイトなどで利用したドメインなど、継続して利用していないドメインであってもしっかり管理することも必要です。

ユーザーが自社ドメインを信頼できるドメインという認識を持ってもらえることは、自社のブランドイメージの向上にも寄与します。

＜対策その４＞ 利用者への注意喚起を含めた情報共有体制の構築

自社や自社サービスを騙るフィッシングメールを確認した際には、ユーザーに対して公式ホームページや公式スマホアプリ、メールなど複数の経路を通して、積極的に情報を発信し、注意喚起を行うことが大切です。先にユーザーがフィッシングメールの存在を確認する可能性もあるため、ユーザーからの情報提供を受け入れる窓口を設置することもお勧めします。また、IPAや警察、フィッシング対策協議会などの第三者機関と提携することで、情報共有体制の強化を図ることもできます。

まとめ

フィッシング対策は、サービス提供者とユーザー双方の努力が必要不可欠です。サービス提供者側は、フィッシング対策を積極的に講じることで、ユーザーがフィッシング被害に遭いにくくするだけでなく、自社のブランドイメージを守れるというメリットがあります。