ページの本文へ

セキュリティ

偽サイト対策として企業に求められる取り組みとは

メールなどから偽サイト(フィッシングサイト)に誘導され、ID/パスワードや個人情報を盗み取る「フィッシング詐欺」は、近年特に被害が多くなっています。特定の企業を狙った攻撃も存在することから、フィッシング詐欺をはじめとするサイバー攻撃に対する従業員へのセキュリティ教育は欠かせません。

この記事では、偽サイト(フィッシングサイト)の概要や企業が警戒すべき被害の例と併せて、従業員・顧客向けの対策方法を解説します。

  1. 偽サイト(フィッシングサイト)とは
  2. 企業が警戒すべき偽サイトによる被害
  3. 従業員向けの偽サイト対策
  4. 顧客向けの偽サイト対策

偽サイト(フィッシングサイト)とは

偽サイト(フィッシングサイト)とは、正規のWebサイトに似せて作られた、さまざまな情報を盗み取るためのWebサイトの総称です。主にメール・SMSから誘導し、ID/パスワード、個人情報、クレジットカード情報などの機密情報を盗み取るために用いられます。このようなサイバー攻撃の手法・手口を「フィッシング」といい、そのために利用されるWebサイトが偽サイトというわけです。

フィッシング詐欺についてより詳しく知りたい方は、こちらの記事も併せてご覧ください。
「フィッシング詐欺とは? 手口や被害事例・対策について解説」

企業が警戒すべき偽サイトによる被害

フィッシング詐欺は個人での被害事例が多く報告されていますが、企業としても十分に注意する必要があります。自社の従業員が被害に遭えば、企業内の機密情報や顧客の個人情報などが流出する可能性も考えられるでしょう。
また、自社の偽サイトによって顧客が被害に遭う可能性もあります。顧客が被害に遭うことで、自社の信頼性を失うことが考えられます。そのため、企業におけるフィッシング対策では、従業員向け・顧客向けの対策が必要です。

従業員向けの偽サイト対策

従業員向けの偽サイト対策としては、「従業員教育」と「セキュリティソフトの導入」を行います。

従業員教育

前述のとおり、一般的に偽サイトへの誘導はメールやSMSが用いられます。そのため、安易にメール本文内のURLをクリックしないことが重要です。また、フィッシング詐欺がどのようなものなのか、どうすれば対策できるのか、といったことを事前に知識として身につけておく必要もあります。
従業員の中の一人でも偽サイトに情報を入力してしまうと、そこから社内システムのID/パスワードなどが盗まれ、不正アクセスされて情報漏えいに繋がる可能性も考えられます。そのため、従業員一人ひとりにしっかりとセキュリティ教育を行うことが重要です。

日立ソリューションズ・クリエイトでは、当社のホワイトハットハッカーによる実践的なカリキュラムで、個人・組織のセキュリティ知識を強化するためのソリューションを提供しています。従業員のセキュリティ教育にお悩みの場合には、こちらのソリューションの利用を検討してみてはいかがでしょうか。
サイバーセキュリティトレーニングのご案内

セキュリティソフトの導入

人的対策だけでなく技術的対策も併せて実施しましょう。人である以上ミスをする可能性があり、システム的な対策と併せて実施しておけば、万が一の状況でも最悪の事態を避けられる可能性があります。
昨今のセキュリティソフトは、偽サイトを検知してブロックする機能を有するものも珍しくありません。また、フィッシングの多くはメールから偽サイトに誘導するため、迷惑メール対策やフィッシングメール対策を有するセキュリティソフト・ソリューションの導入も検討すると良いでしょう。

顧客向けの偽サイト対策

自社のWebサイトを公開している場合には、顧客向けの対策も必須です。主な対策としては次のようなものが挙げられます。

偽サイトのテイクダウン

「偽サイトのテイクダウン」とは、偽サイトの閉鎖を意味します。元凶となる偽サイトを閉鎖することができれば、被害の拡大を防ぐことが可能です。主に次の3種類の対応策が考えられますが、自社だけで対応しようとせずに専門機関にも相談しましょう。

  1. 公式サイトの運営者自身がテイクダウンを行う【ISP(インターネットサービスプロバイダー:インターネット接続サービス事業者)などに依頼する】
  2. 専門機関にテイクダウン依頼をする【JPCER/CC(一般社団法人JPCERTコーディネーションセンター:サイバーセキュリティインシデントに関する情報収集や対応の支援、関連情報の発信などを行う組織)など】
  3. テイクダウン代行の事業者に依頼する

専門機関への依頼方法や代行事業者を選ぶ際のポイントなどについては、フィッシング対策協議会が公表する資料に詳しく記載されているため、こちらも併せて確認すると良いでしょう。
フィッシング対策ガイドライン(2022年度版)

顧客への注意喚起

自社の偽サイトが確認できた場合には、即座に顧客に向けて注意喚起しましょう。自社を騙る偽メールの特徴や偽サイトの特徴などを調査し、「このような偽サイトへの誘導が横行している」ということを知らせます。
フィッシング詐欺の可能性があることを知っておくだけでも対策になるため、注意喚起する場合には自社Webサイトの目立つ部分に記載しましょう。

警察に相談する

警察では偽サイトの情報を収集しています。自社の偽サイトによる被害が発覚した場合には、各都道府県警察のサイバー犯罪窓口に相談しましょう。偽サイトを発見したり、報告を受けたりした際にも、被害の拡大を防ぐために警察に情報提供すると良いでしょう。
具体的な相談窓口については都道府県ごとに異なるため、警察庁の以下のページを参考にフィッシング報告専用窓口に相談してください。
都道府県警察のフィッシング報告専用窓口一覧

顧客が被害に遭った場合の対応について決めておく

対応が遅れるほど被害は広がる可能性があり、顧客からの信頼も失いかねません。そのため、顧客が被害に遭った場合の対応を事前に決めておくことが重要です。顧客から報告があった場合に誰が主導で動くのか、どのように対応するのか、などをマニュアル化して共有しておきましょう。
このような事態に備えて、相談用の窓口を事前に準備しておくことも重要です。

偽サイト(フィッシングサイト)は、正規のWebサイトに似せて作られたさまざまな情報を盗み取るためのWebサイトの総称です。企業では、自社の従業員が被害に遭えば機密情報が漏えいする可能性があり、顧客が被害に遭う可能性が考えられます。顧客が被害に遭うと企業の信頼性に影響を及ぼすため、しっかりと対策することが重要です。

事前の対策と併せて、偽サイトを発見した際や被害が報告された際の対応方法についても、この記事の内容を参考に検討してみてはいかがでしょうか。

当社の関連ソリューション/サービス

関連記事はこちら

詳細はこちら