E-Commerce Magazine Powered by futureshop

EC事業者は知っておくべきID・パスワードをだまし取る「フィッシングメール」のリスクと対策まとめ

サービス事業者を装いID・パスワードなどをだまし取る「フィッシングメール」の被害に遭うEC事業者が増えています。顧客の個人情報漏えいはECサイトや事業の存続に関わる問題のため、メールの見分け方や対策方法などをしっかり確認しましょう
E-Commerce Magazine 2020/11/10 9:00

サービス事業者を装ってメールを送り、ID・パスワードなどの情報をだまし取る「フィッシングメール」。このフィッシングメールの被害に遭うEC事業者が増えています。

EC事業者は、多くの顧客の「氏名」「住所」「電話番号」「メールアドレス」といった個人情報を管理しているため、より一層セキュリティ対策をしておく必要があります。

そこで、EC事業者に届くフィッシングメールの内容や対策について解説します。 情報漏えいは、ECサイトの存続に関わるほどの問題です。手遅れになる前に確認し、セキュリティに対する意識を高めましょう。

Contents

フィッシングメールとは? 開いてしまったらどうなるの?

フィッシングメールとは、インターネット上で届く詐欺メールのことです。フィッシングは、“魚釣り”という意味の「fishing」と、“精巧な”という意味の「sophisticated」の単語が組み合わさった造語で、英語では「phishing」と書きます。

メールの送り主は、ネットバンク事業者やクレジットカード事業者など、ユーザー(メールの受け取り主)が利用するサービスの事業者になりすましています。そして、メールで巧みにユーザーを騙し、個人情報やログインID・パスワードを盗み出すのです。

フィッシングメールの本文には、ユーザーを詐欺サイトに誘導する文言とURLが記載されています。このURLを開いてしまうと、正規のサービス事業者を装った詐欺サイトへと遷移することに。そして、クレジットカード情報やログインID・パスワードを入力させられ、詐欺師に情報が渡ってしまい、クレジットカードを利用されたり、利用サービスにログインされたりといった被害に遭ってしまいます。

メールにファイルが添付されていた場合、ファイルを開いただけでコンピュータウイルスに感染する可能性もあります。そのため、メール本文に記載されているURLだけではなく、添付ファイルにも注意しなければなりません。

最近多いのは、Amazonを装ったフィッシングメール。AmazonのID・パスワードを盗み出すことで、不正に買い物が行われます。パスワードが変更されて、ユーザーがAmazonにログインできなくなり、為す術がなくなってしまう被害も多発しています

EC事業者に向けたフィッシングメールとは? メールの例を紹介

EC事業者に向けたフィッシングメールに多いのは、そのECサイトで利用しているサーバーやサイト構築プラットフォームなど、インターネット事業者を装って送られてくるものです。メールに書かれたURLがインターネット事業者に見せかけた詐欺サイトになっていて、管理画面へのログインを誘導しています。

本物の事業者だと勘違いしてログインIDやパスワードを入力すると、詐欺師の狙い通り。メールで装っていたサービスはもちろん、同じID・パスワードで利用している別のサービスに、不正ログインされてしまうのです。

例えば、実際にfutureshopを装って、以下のフィッシングメールが出回ることがありました。

futureshop フィッシングメール 事例 詐欺 ID/パスワード不正利用 対策
実際にfutureshopを装って送られたフィッシングメール

フィッシングメールには、EC事業者が何のサービスを利用しているかわかっていて 「その事業者になりすます」パターンのほかに、EC事業者がどのようなサービスを利用しているか知らずに「それらしい事業者を装っている」パターンがあります。

それらしい事業者を装うパターンでは、ID・パスワードを入力したEC事業者に対して、「サイトがどのようなサービスを使って運営しているのか」を分析・調査するツールなどが使われることも。その場合、EC事業者が利用するサービスを調べられてしまい、手に入れたID・パスワードを使って、そのサービスへ不正にログインされてしまうのです。

狙われやすいECサイトとは?

狙われやすいのは、ひとことで言うと「売れているECサイト」。月商300万円から500万円を超えてくると、詐欺のターゲットになりやすい傾向があります。

フィッシングメールだけではなく、ECサイト上にスクリプトを埋め込まれてサイトが改ざんされるなど、さまざまな被害に遭う可能性が高まるため、特に注意しておかなければなりません。

フィッシングメールに潜む、EC事業者のリスク

EC事業者がフィッシングメールを開いてしまったら、どのようなリスクがあるのでしょうか?

最も危険なのは、顧客の個人情報が流出してしまうこと。

ECサイトは、住所や電話番号、メールアドレス、場合によってはアンケートなどで取得したその人の趣味嗜好に関わる情報(よく行くお店や肌質など)といった、多くの顧客の個人情報を保有しています。そのため、サイト構築プラットフォームの管理画面にログインされると、会員データがダウンロードされ、一気に情報が漏えいしてしまうのです。

自社の情報が漏えいするのはまだしも、顧客の個人情報が漏えいすると、会社の存続に関わる問題となります。責任が追及され、信用が落ち、事業や会社を続けるどころではなくなってしまうでしょう。

実際、フィッシングメールにアクセスしてユーザーの個人情報が流出したことで、大々的にニュースとして取り上げられ、会社の経営を続けていくことが困難になったケースも少なくありません。

サイト構築プラットフォームの管理画面にログインされた際のリスクは、ほかにもあります。たとえば、受注データがダウンロードされて売り上げ情報が流出したり、サイトが改ざんされたり。「明日は我が身」という意識を持ち、怪しいメールには不用意にアクセスせず、ID・パスワードを厳重に管理しておく必要があります

フィッシングメールの見分け方

詐欺師がサービス事業者になりすまして接触してくる、フィッシングメール。では、本物のサービス事業者からのメールとフィッシングメールでは、どのように見分ければ良いのでしょうか?

詐欺師は、本物のサービス事業者のメールをコピーアンドペーストして、そのまま送ってくることも多いため、メール本文で見分けるのは困難です。

そこで注目するのがURLです。メール本文に記載されているURLが本物とは異なるため、まずはURLを確認することがポイントです。

ただ、自社で利用している全サービスのURLを覚えておくことは、なかなかできることではありません。本物と似ているURLを取得している可能性もあるため、メールに記載されたURLは基本的に開かないように心がけることが大切でしょう。

「重要なお知らせ」「【注意喚起】パスワードの再設定」といった用件でURLを記載しているメールが届いても、不用意にリンクを踏まないこと。メールからはサイトにアクセスせず、ブックマークなどから自分が知っているURLにアクセスして確認してください。

フィッシングメールの被害を抑えるため、EC事業者ができる対策

フィッシングメールは、1通で会社の未来を左右する恐ろしいもの。特に個人情報の漏えいは事業の存続に関わる問題だと理解し、日頃からセキュリティに対する意識をしっかりと持たなければなりません。サービス事業者側でできる対策には限界があるため、EC事業者側でできることを行い、自分の身を自分で守っていくことが重要です。

では、フィッシングメールで被害を受けないために、EC事業者にはどのような対策ができるのでしょうか?

不審なメールはクリックしない」「ID・パスワードはできるだけサービスごとに使い分ける」ことを基本として、futureshopの利用者を例に、EC事業者ができる対策とfutureshopのセキュリティ機能を詳しく紹介していきます。

対策① ユーザーごとに管理者アカウントを発行する

futureshopの利用者ができる対策として、アカウントは複数人で使いまわさず、管理画面にログインするユーザーごとに管理者アカウントを発行することが挙げられます。

1つのアカウントを何人かで共有して使っていると、ID・パスワードが漏えいしても、不正ログインに気付きにくくなってしまいます。

実際、futureshopでは、同じアカウントによる重複ログインは許可されていません。もし同じアカウントで同時にログインされそうになった場合、先にログインしていたユーザーが強制的にログアウトされます。何者かによってログインされたことがすばやく判明するため、アカウントの廃棄やログイン設定など、すぐに対策を打つことができるのです。

ログインの記録は管理画面に残るので、不正ログインを発見しやすく、被害を抑えられます。

対策② 管理者アカウントごとに利用設定をする

管理者アカウントごとに利用設定をすることも、futureshopの利用者ができる対策の1つです。

全アカウントがすべての機能を利用できるようにしていると、スタッフ1人のID・パスワードが流出したとき、被害が大きくなる可能性が高くなります。そこで、アカウント1つひとつに対して、ログインページを制限しておくことで、リスクを最小限に減らせるのです。

futureshopでは、「受注管理」「会員管理」「入荷お知らせメール」「メールマガジン」「 LINEメッセージ」など、さまざまな機能の閲覧を制限できます。例えば、ECサイトのデザイン担当者には、受注管理や会員管理の閲覧を許可しないといったように、ログインページの制限を設定しておきましょう。この細かな設定が、フィッシングメールの被害を食い止め、ECサイトに関わる人全員を守ることにつながるのです。

対策③ 管理者アカウントごとに利用設定をする

管理画面に接続できるIPアドレスを制限することも、futureshopの利用者ができる対策として挙げられます。

IPアドレスを登録しておくことで、登録されていないIPアドレスからアクセスがあった場合、ID・パスワードが合っていても管理画面にログインできなくなります。

まとめ

フィッシングメールは、ニュースの世界でのできごとではありません。実際「まさか自分たちがこんなことになるとは……」と多くの事業者が被害を受けており、人生をマイナスの方向へ大きく変えてしまっています。

決して他人ごとではなく、常に「自分たちをだまそうとする人や、攻撃してくる人はいる」と意識し、自分の身を守ることが大切です。

futureshopでは、セキュリティを何重にも固めています。たとえID・パスワードが流出しても、特定のURLにアクセスし、店舗を識別する店舗KEYを入力しなければログインできません。 ログインされたとしても、重複ログインはできずログが残り、アカウントによって利用できる機能が制限されています。

ただ、システム側でできる対策には限りがあります。そのため「ID・パスワードは使い回さない」など、EC事業者側でも対策をしておきましょう。

この記事はフューチャーショップのオウンドメディア『E-Commerce Magazine』の記事を、ネットショップ担当者フォーラム用に再編集したものです。

関連リンク: 
オリジナル記事はこちら:
この記事が役に立ったらシェア!
関連記事: 
これは広告です

ネットショップ担当者フォーラムを応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]

[ゴールドスポンサー]
ecbeing.
[スポンサー]