2018/03/07

【第7回】

企業が知っておくべきフィッシング詐欺の手口と事前対策~2018年版~

SMSは次世代のマーケティングツールとして多くの企業で導入が進んでいます。
しかし、セキュリティや詐欺への悪用の懸念から導入を決められない企業も多いのではないでしょうか?

  • SMSを使った詐欺にどのような手口があるのか知りたい
  • 信頼できるSMSサービスの選び方を知りたい
  • SMS詐欺に会社名を使われてしまった時の対処方法を知りたい

このような悩みを抱えていませんか?
そこで本記事では、最新のフィッシング詐欺手口の実態から事前対策、企業がSMS詐欺被害にあってしまった時の対応まで詳しく解説します。
SMS導入の際にリスクマネジメントを検討する材料として本記事をご活用下さい。

1.フィッシング詐欺手口の実態

この章では、最新のフィッシング詐欺手口の概要や被害件数について解説します。

近年のフィッシング詐欺手口の概要

フィッシング詐欺とは、以下のように定義されている詐欺です。

フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法で、クレジットカード番号、アカウント情報(ユーザID、パスワードなど)といった重要な個人情報を盗み出す行為のことを言います。

総務省:国民のための情報セキュリティサイト

以前は、電子メール、WEBサイト、郵便物が中心でしたが、近年はSMSを使ったフィッシング詐欺が多く報告されています。SMSを使って架空の請求情報を送付し、連絡してきた消費者に対し偽りの説明をします。消費者の不安をあおり以下の行動を要求します。

〈フィッシング詐欺での主な要求〉
・金銭の振込み
・コンビニでのギフトカードの購入

平成29年12月22日には、ヤフー株式会社を語るSMSを用いた架空請求が報告されています。

消費者庁:SMSを用いて未納料金の名目で金銭を支払わせようとする「ヤフー株式会社をかたる架空請求」に関する注意喚起(PDF)

報告件数

フィッシング詐欺の報告件数は、フィッシング対策協議会が公表しています。
被害件数は減少傾向にあるもののまだ多い状況です。

①フィッシングサイト件数

フィッシング対策協議会:フィッシングの現状と対策 2016(PDF)

②フィッシング報告件数

フィッシング対策協議会:フィッシングの現状と対策 2016(PDF)

2.企業側のリスク

フィッシング詐欺は、主に消費者をターゲットとした詐欺手口です。しかし、悪用された場合、企業側にも大きなリスクがあります。

情報漏洩によるフィッシング詐欺への悪用

フィッシング詐欺の多くは、メールアドレス、電話番号、住所などの個人情報を悪用してメール、SMS、郵便物などで行われます。これら個人情報の多くはウイルスや不正アクセスなどが原因で漏洩します。

特定非営利活動法人日本ネットワークセキュリティ協会:2016年情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~(PDF)

企業名の悪用

フィッシング詐欺は、誰もが知っている企業名を悪用して行われます。発生した場合、情報漏洩の調査や警察への届出、消費者への実態報告などが発生します。名前を悪用されただけでも大きな損害となります。

次の章では事前対策について解説します。

3.消費者を守るために企業がとるべき事前対策のポイント

情報漏洩を起点としたフィッシング詐欺は事前対策である程度防ぐことができます。
この章では、消費者を守るために企業がとるべき事前対策について解説します。

情報の盗聴を前提とした悪意あるSMSサービスも海外では報告されています。
以下ポイントをおさえることでリスクを低減することができます。

①国内キャリア直接接続のSMS配信事業者を使う

SMS送信サービスは以下のパターンがありますが、国内ユーザーにメッセージを届けたい場合は、「国内キャリア直接接続」のSMSサービスが適しています。

〈SMSの配信方法〉

・国内キャリア直接接続
NTTドコモやau、ソフトバンクなど国内の携帯キャリアと直接接続してメッセージを送信する方法です。
・国際網接続
海外の回線網を経由してメッセージを送信する方法です。
・一部国内キャリア直接接続
一部の携帯キャリアと直収接続しており、残りを国際網経由で送信する方法です。

国際SMSを利用した架空請求が増加したことで、「国際網接続」 のSMSをユーザーが受信拒否している場合があります。そのため国際網接続や一部国内キャリア直接接続のSMS送信サービスでは、期待した到達率に届かないケースがあります。
また、国際網接続の場合、海外のサーバーを経由して配信されますので、ユーザーは、配信元の特定をしていくのが難しい場合があります。実在する企業の名を装った架空請求等も多発していることから、NTTドコモやau、ソフトバンクの国内携帯キャリアと直接接続を行いメッセージの送受信を実施することで、ユーザーから見ると安心感と信頼性が得られ、企業から見ると高いコンタクト率・到達率を実現できるのです。

②送信元番号にナビダイヤルを使う

ナビダイヤルとは、NTTコミュニケーションズ(株)のサービスを利用した「0570」で始まる電話番号です。

ナビダイヤル(NTTコミュニケーションズ)

ナビダイヤルの取得には法人格が必要であり、その審査はNTTコミュニケーションズが行います。そのため信頼性の高い番号といえます。消費者に不安を与えないためにナビダイヤルを導入しましょう。

③送信元番号を自社のウェブサイト等で掲示し注意喚起する

送信元番号を消費者が検索した時に信頼のある発信元か判断できるよう、ウェブサイトにしっかり掲示しましょう。

例えば、クレジットカードやカードローンを取り扱っているオリエントコーポレーション様では、入金案内業務や、コールセンター業務等で広くSMSを活用しています。
SMS導入に伴い、オリエントコーポレーションでは、Webサイト内に「SMS(ショートメッセージサービス)よるご連絡について」というページを設け、自社が使っているSMS送信元番号を公表しています。

SMS(ショートメッセージサービス)によるご連絡について:株式会社オリエントコーポレーション様

届いたメッセージが関係のある企業からの連絡なのかをユーザーが自ら確認できる方法を設けることで信頼性を高めることが可能になるのです。

4.企業がSMS詐欺被害にあってしまった時の対応方法

フィッシング詐欺は100%防げるものではありません。もしSMS詐欺被害にあってしまった時は、フィッシング対策協議会の推奨手順で対応しましょう。

①フィッシング詐欺被害状況の把握

フィッシングサイトやフィッシングメールを検知したら、実際に被害が出る可能性がどれくらいなのか判断する。フィッシングメールやSMSの配信数の調査には時間が掛かるため、調査は「④関係機関への連絡、報道発表」と同時に行います。

②フィッシングサイトテイクダウン活動

フィッシングサイトが属しているIPアドレスブロックを管理しているプロバイダに連絡を取りサイトのテイクダウン依頼を行う。一般社団法人 JPCERTコーディネーションセンターなどの第三者機関もテイクダウンの支援を行っています。

③フィッシングメール注意勧告

利用者からの問合せ対応窓口の設置および利用者への通知を行う。特に、被害拡大を防ぐためにフィッシングサイトにアクセスしないよう注意喚起が重要となる。電子メールでの通知、正規サイトでの提示、報道機関への告知など複数の伝達手段をとりましょう。

④関係機関への連絡、報道発表

所管の都道府県警察のサイバー犯罪相談窓口に対して届出る。被害の拡大が予測される状況であれば報道発表の利用も検討する。ただし、報道サイトを悪用したフィッシング詐欺など被害を拡大させるケースもあるため慎重な検討が必要となる。

⑤生じたフィッシング詐欺被害への対応

消費者から相談窓口に寄せられた金銭的被害やIDの詐取などの発生状況を把握する。金銭的被害の発生する危険性があれば被害拡大抑制の活動を実施する。

⑥事後対応

フィッシング詐欺被害対応から学んだこと、改善すべき点、などの事後処理含め、改善、再発防止策などを体制や対応手順書などに反映する。

フィッシング対策協議会:フィッシング対策ガイドライン 2017年度版(PDF)

5.まとめ

この記事では、最新のフィッシング詐欺手口の実態から事前対策、SMS詐欺に企業が悪用されてしまった時の対応まで詳しく解説しました。
NTTコミュニケーションズのフィッシング対策協議会への参加をはじめ、NTTグループではフィッシング詐欺への取組みを強化しています。NTTコム オンラインでも企業が安心してSMSを活用できるよう様々な取組みを行っています。是非お気軽にお問い合わせください。

圧倒的な到達率を実現!SMS送信サービス 空電プッシュ 詳しく見る

SMS送信サービス空電プッシュ
資料請求・お問い合わせ

SMS送信サービス空電プッシュの料金・仕様・導入に関してはお気軽にお問い合わせください。

空電プッシュ
ダウンロード資料

着眼率90%を誇る顧客へのメッセージを
確実に伝えるための手法はこれだ

黒田 和宏

モバイルサービス部 部長。2016年9月より着任し、国内3キャリア向けSMS送信サービス「空電プッシュ」の事業戦略・新機能開発・運用等を担当。