セキュリティー大手のトレンドマイクロによると、国内の仮想通貨業者に偽装したフィッシング詐欺は2017年11月に初めて確認されています。自社ECや大手通販サイトで自社のネットショップを運営されている企業などは、フィッシング詐欺に悩まされている企業もあるのではないでしょうか。

フィッシング詐欺サイトは、利用者にとっては本物のウェブサイトと見分けがつかないぐらいしっかり作られており、気づかずに被害に遭うケースも少なくありません。ダークウェブ上にはフィッシング詐欺に使用されるようなウェブページが取引されています。今日は、この「フィッシング詐欺」とダークウェブの関係について少し整理してみたいと思います。

フィッシング詐欺とは?・・・フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法で、クレジットカード番号、アカウント情報(ユーザID、パスワードなど)といった重要な個人情報を盗み出す行為のことを言います。なお、フィッシングはphishingという綴りで、魚釣り(fishing)と洗練(sophisticated)から作られた造語であると言われています。
(引用:http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/enduser/security01/05.html

仮想通貨交換業者11社のうち6社が対策不十分?

さて、先日の日経新聞の夕刊で「金融庁に登録済みの仮想通貨交換業者11社のうちフィッシング詐欺対策が不十分な業者が6社あることが、筑波大学や野村アセットマネジメントの調査でわかった。」という内容の記事が出ていました。

NEMの事件以降、色々なメディアで仮想通貨業者の法令遵守意識が低いことが問題に取り上げられていますが、「フィッシング詐欺の対策」という観点でもセキュリティー対策が甘いことが分かりました。

今回の調査を行ったのは筑波大学と野村アセットマネジメントと記載があり、登録業者のうち仮想通貨を交換できる11社のサイトを分析しています。安全性に関するレベルを3個に分類分けしている点が興味深い点です。

EV(厳格):4社 安全性のレベル高
OV(ある程度):1社 安全性のレベル中
DV(最低限):6社 安全性のレベル低

上記の「EV」は審査が厳格で偽造が難しく、業界団体も推奨しているレベルです。一般的な銀行は全て「EV」のレベルで運用されており、ある程度の対策はされています。

一方で、仮想通貨交換業者では11社中4社のみが「EV」のレベルであり、安全性のレベルが低い「DV」は6社という結果が出ています。つまり、簡単に偽造ができてしまうという状況であり、ダークウェブ上でフィッシング詐欺用のウェブページが取引されていてもおかしくないということです。

ユーザー離反のリスクと損害補償のリスク

仮想通貨交換業者の場合は、既にフィッシング詐欺のリスクが存在しているということを認識しなければいけません。ダークウェブ上でフィッシングページは1個7ドルで販売されているとのことですので、簡単に手に入ると言って良いと思います。この問題を放置すると、被害にあったユーザーが別業者に切り替える可能性があり、存続ができなくなっていく事業者が出てきてもおかしくありません。

仮想通貨交換業者に限ったことではありません。その他の企業でもフィッシング詐欺を放置しておくと、ユーザーの信頼喪失に繋がり、非常に大きな機会損失が発生します。更に、損害を受けたユーザーに「補償」をしなければいけないリスクも考えられます。商品の単価や被害の規模にもよりますが、数百万から数千万、場合によっては数億円の損害が発生する可能性も考えられます。

フィッシング詐欺の対策とダークウェブの巡回

企業は、普段からウェブ上を巡回してフィッシング詐欺に利用されるウェブページが存在していないかを監視すべきでです。発見次第、ユーザーに注意喚起を行うと同時に、対応策の検討を行うことができます。

一般ウェブの場合だと、Googleに申請をして検索結果から除外をしてもらうという手法もありますが、ダークウェブの場合だと正直、有効な手段はありません。ただ、普段から丁寧に情報提供と注意喚起を行うことでユーザーからの信頼を得ることができ、中長期的に企業のブランド価値に繋がっていくはずです。業界団体である「フィッシング対策協議会」のガイドラインにも「事業者の立場からみると、フィッシング被害を防止するための措置を講じることは、サービス事業者の信用を高め、利用者からの信頼・安心を得ることになる。」と記載があります。

フィッシング詐欺においては、フィッシング対策協議会のHP上にも事業者の対策すべき内容が公開されていますので、まずはそちらを確認してみることをお勧めします。
https://www.antiphishing.jp/report/pdf/antiphishing_guide.pdf

そして、この機会に一般的な検索で確認できる範囲だけではなく、ダークウェブを含めた包括的なモニタリングを検討してみてはいかがでしょうか。