小さな会社のトラブル抑止（第5回）偽サイトにご用心。インターネットの落とし穴

公開日：2018.03.12

ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録（無料）してログインする必要があります。

　ユーザーが簡単に見分けられないほど巧妙に作られた「偽サイト」が、社会問題になっている。オンラインショップや銀行の偽サイトにアクセスしてしまい、不正送金や詐欺の被害に遭うケースも急増中だ。インターネットの利便性を逆手に取った犯罪からいかにして身を守るか、対策の抜本的な見直しが求められている。

銀行、通販、保険。偽サイトの最新手口

　2017年7月、ウイルス対策ソフト大手のトレンドマイクロから、警察庁のサイトを偽装したサイトを確認したという発表があった。その偽サイトには「違法なコンテンツを閲覧したことを確認したのでパソコンをロックした。違反金として50000円支払え」などと記載されていた。

　支払い方法が電子マネーのみであることや「違反金」という表現など、冷静に考えれば疑わしい部分は多いのだが、Webブラウザーの全画面表示機能を悪用してURLも偽装し、一見すると正規サイトかと勘違いしてしまう。また、慌ててブラウザーの「閉じる」ボタンをクリックしても、偽装されたボタンなので反応はなく、画面は表示されたまま。ユーザーの心理を突いた巧妙な詐欺サイトだ。

　このような偽サイトを使った犯罪は「フィッシング（Phishing）」と呼ばれる。この名前は英語の「釣り（Fishing）」と「洗練（Sophisticated）」を合わせた造語だ。インターネットの利用が本格化した2000年代に急増し、現在もその勢いは止まらない。

　フィッシング詐欺の手口は、文字通り釣りと似ている。犯人はまずメールという「まき餌」を大量に送信。魚（被害者）はまき餌を食べて（メール記載のURLをクリックして）仕掛け（偽サイト）に近づき、釣り上げられる。手法自体は広く知られているにもかかわらず、いまだに被害が後を絶たないのはなぜか。そこには仕掛けとなる偽サイトの進化が関係する。

　ユーザーを誘い込む方法も巧妙化している。「アカウントの有効期限が切れています。更新してください」といったメールを送り、本文に記載されたURLをクリックさせる事例では、メールの発信元に実在する企業、組織名を明記し、画面も実在のサイトに酷似したものが多い。実際に、ある大手銀行の偽サイトは本物とほとんど見分けがつかず、銀行側の発表でも「入力欄が2つのサイトは本物で、3つ以上のものは偽物」というありさまだった。

　さらに最近は、スマートフォンのSMS（ショートメッセージサービス）を使って偽サイトへ誘導する「スニッシング」と呼ばれる手口も現れた。2017年7月には日本でもGoogleを装ったSMSを送り、ウイルス対策費と称し金銭をだまし取ったとして容疑者が逮捕された。

お金も顧客情報も失う…

　これまで、フィッシングによる詐欺は通信販売など、主に個人のユーザーを狙ったものが中心だった。ところが最近は、企業を対象にするケースも増えつつある。狙われるのはズバリ「中小企業」だ。セキュリティ専任担当者がいないことが多い中小企業は、サイバー攻撃のメーンターゲットになりやすい。さらなる大規模攻撃の「踏み台」としても好都合と捉えられている。

　わが国で確認されている偽サイトの多くは金銭を目的としたものだが、犯人の狙いは他にもある。それは「情報」だ。例えば、日ごろから付き合いのある取引先を装った偽サイトへ誘導されたのに気付かなければ、社員は抵抗なく顧客情報や口座番号を入力する。その偽サイトにマルウエアが仕込まれていた場合は、不正アクセスや情報漏えいといった問題を引き起こす。

　また、自社のサイトが偽装されたケースでは、まるで加害者のように扱われる恐れがある。偽サイトの存在を知った時点で注意喚起しなかったり、顧客からの問い合わせ対応に問題があったりすると、被害者の怒りは正規サイトを運営する企業に向けられる。「われ関せず」では通用しない。

　増え続ける偽サイトの問題を解決するため、さまざまな取り組みが進められている。警察庁と日本サイバー犯罪対策センター（JC3）は2017年12月、この半年間で20000件余りの偽サイトが確認され、記載された不審な口座に約2億4000万円が振り込まれたとして注意喚起を行った。

　ここで気になるのは、従来「偽サイトの見分け方」として挙げられていた項目が通用しない点だ。ブラウザーに表示された「.com」「.co.jp」などのドメインを確認する方法は、メールに添付したマルウエアに感染させることで、正規のURLから自動的に偽サイトへ接続されてしまう。また、安全な通信を行う目的で使われる暗号化（鍵マーク・https）を使った偽サイトも確認されるなど、もはや対応し切れないのではと思わせるほどだ。

　偽サイト以外にもインターネット上にはさまざまな悪質サイトがある。アクセスと同時に高額請求を行うワンクリック詐欺サイトや、マルウエアを自動ダウンロードさせるサイト、偽ブランド品や違法薬物を販売するサイトなど、数え上げると切りがない。

便利さの裏にある危険

　このような悪質サイトから身を守る方法として、ICT関連企業は各種のソリューションを提供している。その代表格といえるのが「Webフィルタリング」だ。

　Webフィルタリングは悪質サイトのURLをデータベース化し、そのサイトへのアクセスを遮断する。この機能は主に青少年を暴力、ポルノといった不適切なコンテンツから遠ざける目的で利用されてきたが、偽サイトへのアクセス防止も可能なことから、ビジネスシーンでも活用できるものとして導入が進んでいる。

　マルウエアを使ったサイバー攻撃と並び、深刻な脅威になりつつある偽サイト問題。多くの企業が利用するインターネットバンキングは便利なものだが、金融機関の偽サイトが非常に多いのも事実だ。「すべてを疑ったら仕事にならない」などと考えず、便利さの裏にある危険をあらためて認識するべきだろう。

続きを読むにはログインが必要です

\ かんたん入力で登録完了 /

執筆＝林達哉

【MT】

あわせて読みたい記事

弁護士が語る！経営者が知っておきたい法律の話（第27回）
なぜだまされる？中小企業を狙った詐欺・悪徳商法
法・制度対応トラブル対応
2016.09.26
IT時事ネタキーワード「これが気になる！」（第19回）
実録！Facebookアカウント乗っ取りから復活まで
脅威・サイバー攻撃 IT・テクノロジー
2017.08.10
加害者にならないためのサイバー攻撃防止法（第2回）
「ウイルスソフトがあれば安心」…ではない
脅威・サイバー攻撃
2016.06.10

「脅威・サイバー攻撃」人気記事ランキング

「脅威・サイバー攻撃」カテゴリーから探す

連載バックナンバー

小さな会社のトラブル抑止

企業の情報セキュリティリスク認知調査2023
テクノロジーの進化によって、生産性の向上や多様な働き方の実現などの恩恵がもたらされる一方、サイバー攻撃も多様化・複雑化の一途をたどっています。こうした中、攻撃手法などの情報セキュリティリスクをどれくらい認知しているのだろうか。その最新動向について調査しました。
ダウンロード
情報セキュリティ対策意識調査2022
DX推進が企業にとって成長のドライバーとなる中、サイバー攻撃も多様化・複雑化の一途をたどっています。AIやRPAなど各種のICTテクノロジーや、社内外のコミュニケーションを円滑化するクラウドストレージ活用が進む現在、企業における情報セキュリティ対策はどうなっているのだろうか。対策度合いや、脅威に感じるもの、対策をするうえでの課題などの最新動向について調査を行いました。
ダウンロード
その対策は効果ナシ！セキュリティの常識を検証する
サイバー攻撃の被害が深刻化し、従来のセキュリティの常識が崩れ始めています。本当に必要な対策とは何か？情報セキュリティ大学院大学の大久保隆夫教授にお聞きしました。
ダウンロード