Webサイト利用者を巧みにだますフィッシングサイトや偽サイト。古典的なサイバー犯罪手法だが、手口は今も巧妙化し続けている。自組織のWebサイトもいつ悪用され、巻き込まれるか分からない。サイト利用者保護を優先しつつ、外部機関と連携しながら閉鎖に動こう。
Web利用者をだましてWebサイトのログイン情報やクレジットカード情報などを奪い取るフィッシングは、攻撃者にとって手口が簡単ということもあって、サイバー犯罪によく使われます。
フィッシング対策協議会によれば、フィッシングサイトの報告件数は2000件を超える月もあります(グラフ)。被害者と自組織のブランドの両方を守るために、CSIRT(セキュリティ事故対応チーム)は自組織のWebサイトがフィッシングに悪用された場合、素早く対応する必要があるでしょう。
グラフ フィッシングサイトの報告件数
フィッシングサイトは無くならない
[画像のクリックで拡大表示]
以前のフィッシングは英語や不自然な日本語で書かれたメールやサイトが主流でした。しかし、最近は日本語の表現が的確になるなど手口が巧妙になり、被害が拡大しているようです。偽のECサイトも急増し、Web利用者が振り込んだ商品購入代金をだまし取られる被害も出ています。
残念ながら、自組織のサービスをかたるフィッシングサイトや偽サイトを攻撃者が立ち上げることを未然に防ぐのは難しいといえます。そのため、CSIRTはフィッシングサイトを発見した後の対応をいかに素早く進めるかに主眼を置くべきです。
