近年、インターネット上での犯罪手口が高度化・多様化する中、フィッシングは一般消費者だけでなく、企業にとって深刻な脅威となっています。被害は個人にとどまらず、企業の信用や財務にまで大きな影響を及ぼす可能性があるため、適切な対策が求められています。

今回は、ソフトバンクの有識者インタビューを通じて、フィッシングの概要や企業がなぜ対策を強化すべきなのか、具体的な対策方法について詳しくお伝えします。

お話を伺った方

フィッシングとは

まず基本的なところから教えてください。フィッシングとは何ですか。

フィッシングとは、攻撃者が信頼できる組織や個人に偽装し、偽装したWebサイトやメッセージを用いて、ユーザーから個人情報やアカウント情報を不正に取得しようとする詐欺の一種です。主にEメールやSMSを通じて行われ、ユーザーを騙してクレジットカードや銀行口座番号、業務システムのログイン情報などの重要なデータを入力させ、不正利用や金銭的被害が発生してしまうことです。

スミッシングとの違い

一緒にスミッシングという言葉もよく聞きます。フィッシングとの違いについて教えてください。

主な違いは、攻撃に利用される方法です。フィッシングは主にEメールを通じて行われますが、スミッシングはSMS、すなわちショートメッセージサービスを利用して攻撃が行われることで、Eメールより高い到達率を誇ります。

フィッシングでは偽のWebサイトへの誘導や、添付ファイルを通じたマルウェアの配布が一般的ですが、スミッシングではSMS内に含まれるリンクをクリックさせることで同様の目的を達成します。スミッシングは通信キャリアを利用するため、信頼性の高い送信元からのメッセージとして受け取られやすく、対策が困難な点が特徴ですね。

被害と傾向

フィッシングの被害状況について教えてください。

フィッシング詐欺の被害は年々増加傾向^※1にあります。特に近年では、スマートフォンの普及に伴い、スミッシングの件数も著しく増加しています。これにより、個人のみならず企業も標的となるケースが増えており、対策の重要性が一層高まっています。

被害は増え続けているのですね。日本におけるフィッシングメールの傾向はあるのでしょうか？

日本国内の傾向として、以前は海外の通信キャリアから送信されるケースが多かったものの、最近では国内からの送信が増加しています。Eメールによるフィッシング対策は長年にわたり進化してきましたが、SMSを利用したスミッシングに対する対策は依然として困難な状況です。総務省が発表した「不適正利用対策に関するワーキンググループの中間まとめ」にあるように以前は海外通信事業者からのスミッシングメッセージが多かったものの、現在はマルウェアに感染した端末が主な発信源になっているため、国内からのスミッシングメッセージが増加しており対策が急務となっています。

一般消費者だけの問題ではない

フィッシングと聞くと、個人のメールやSMSが狙われるイメージがあります。企業のメールなどはどうでしょうか。

フィッシングは一般消費者だけでなく、企業にとっても大きな課題となっています。その理由は主に2つあります。

1つは、金融機関やクレジットカード会社、ECサービス、宅配業者など、利用者の多いサービスを持つ企業名が悪用されるケースです。
 利便性を考えて「〇〇銀行からのお知らせ」や「〇〇カードの支払いのご案内」、「〇〇でのご注文」などの件名や内容の通知メールやSMSは日々届きます。これらお客さまへの利便性を考えてメールやSMSで通知を行う機能が、逆に悪用されてしまう悩ましい問題です。しかし、正しいご案内にまぎれて自社を語ったメールやSMSがマルウェアを発信してしまうかもしれないことを考えると何かしらの対策を検討せねばなりません。現状は専用のアプリケーションを介して通知機能を提供するのが主流になっていますが、偽のアプリケーションが配信される被害もあるため、自社だけで対策を継続することも難しくなっています。

このように入手した情報を用いて、金融機関に直接入り込み不正送金など金銭被害を及ぼす場合が多いのですが、公共機関（給付金・還付金）や税務署（税金の支払い）などをなりすまして入手した個人情報やアカウント情報を用いることでも被害を及ぼすなど、幅広い業種で被害が発生しています。

2つ目は、企業が業務で使用する端末がマルウェアに感染し、不正送信の踏み台として利用されるケースです。
 先程も述べたとおり、マルウェアに感染した端末が発信源になってしまうフィッシングが増加しています。そのため、業務で利用するスマートフォンなどの端末が狙われて、その端末にある情報が利用されることで会社の仲間やお客さまへフィッシングメールが送付されてしまうことになります。

業務利用するスマートフォンには機密情報や顧客情報が多く保存されています。これらの端末がマルウェアに感染すると、犯罪者は踏み台としてフィッシングメールを大量に送信することが可能となることに加えて、金銭的にも価値がある情報（顧客情報や取引先情報、サービス開発に関わる社外秘情報など）を取得できてしまいます。

フィッシングメールが送付され、自社の情報も盗まれてしまうことで、企業の信用失墜や業務の停止など、深刻な影響が生じてしまう でしょう。

以前、ある企業の取締役が会社支給のスマートフォンで、宅配業者を装った不在通知のスミッシングに引っ掛かり、アカウント情報を入力した結果、スマホ内のデータに不正アクセスされ、登録されていた名前や電話番号、メールアドレス、企業名などの情報が漏えいしたというニュースもありました。

また最近では、身代金を要求されるランサムウェア攻撃も聞かれますが、ランサムウェア攻撃の前にフィッシングメールで従業員からアカウント情報を取得し、そのアカウント情報を利用して企業内部へ侵入し、ランサムウェア攻撃を仕掛けた という話も聞きます。フィッシングにおいてはアカウント情報を盗まれるだけでなく、その後に広範囲に渡って影響を及ぼしてしまうのです。

企業としてできる対策

被害は拡大傾向にあり、一般消費者とメールやSMSでコミュニケーションを取る企業が狙われやすく、特に業務利用するスマートフォンには狙われやすい情報が含まれているため対策が必要なのが分かりました。
では企業としてはどのようなことを行っていくべきでしょうか。

企業がフィッシングやスミッシングに対抗するためには、いくつか方法があります。

まずメールセキュリティの強化は不可欠です。先進的なメールフィルタリングシステムを導入することで、迷惑メールやフィッシングメールを自動的に検出・ブロックすることが可能となります。また、自社を語ったなりすましメール対策ができるサービスもあるので活用してもよいでしょう。

ほかにはフィッシングの手口や対策方法について従業員教育を行い、注意喚起を徹底していくこともポイントです。

業務利用するスマートフォンは情報の宝庫となるため対策は欠かせません。モバイルデバイス管理（MDM）と呼ばれる、スマートフォンなどのモバイル端末やユーザー情報を一元管理するサービスを利用し、業務用途に限定したアプリケーションの利用やセキュリティポリシーの適用を行ったり、スミッシング対策となるモバイル専門のセキュリティソリューションを使うこともよいと思います。

加えて、私用端末を利用するBYODの環境では、従業員への教育やセキュリティポリシーの徹底が求められるため、業務用のスマートフォンを配布して私用アプリやSNSの利用を制限し、フィッシング被害のリスクを低減させることもポイントになるでしょう。

また、企業がSMSを利用する際には、スミッシングにおける送信者のなりすましを防ぐために、共通番号（0005から始まる8〜10桁の番号）を使用することをご案内しています。これにより一般利用者との区別が可能になるため、企業として発信者の信頼性を確保することも重要です。

ありがとうございました。

まとめ

フィッシングやスミッシングは、個人だけでなく企業にとっても重大な脅威となっています。企業がフィッシング対策を強化することで、信用の維持や財務の保護を図るとともに、従業員や顧客の安全を確保することが重要です。

メールセキュリティを強化するためのProofpoint Eメールセキュリティ、モバイルセキュリティを強化するためのZimperiumというサービスを提供しています。リンク先よりお気軽にご相談ください。

関連記事

関連サービス

関連セミナー・イベント

同じカテゴリーの記事をみる