本当に怖いフィッシングメール。EC事業者のリスクやメールの見分け方、今日からできる対策を紹介
- 2020.10.232024.01.30
サービス事業者を装ってメールを送り、ID・パスワードなどの情報をだまし取る「フィッシングメール」。このフィッシングメールの被害に遭うEC事業者が増えています。
EC事業者は、多くの顧客の「氏名」「住所」「電話番号」「メールアドレス」といった個人情報を管理しているため、より一層セキュリティ対策をしておかなければなりません。
そこで、EC事業者に届くフィッシングメールの内容や対策について解説していきます。
情報漏えいは、ECサイトの存続に関わるほどの問題です。手遅れになる前にご一読いただき、セキュリティに対する意識を高めていきましょう。
目次
フィッシングメールとは? 開いてしまったらどうなるの?
フィッシングメールとは、インターネット上で届く詐欺メールのことです。フィッシングは、“魚釣り”という意味の「fishing」と、“精巧な”という意味の「sophisticated」の単語が組み合わさった造語で、英語では「phishing」と書きます。
メールの送り主は、ネットバンク事業者やクレジットカード事業者など、ユーザー(メールの受け取り主)が利用するサービスの事業者になりすましています。そして、メールで巧みにユーザーを騙し、個人情報やログインID・パスワードを盗み出すのです。
フィッシングメールの本文には、ユーザーを詐欺サイトへと誘導する文言とURLが記載されています。このURLを開いてしまったら、正規のサービス事業者を装った詐欺サイトへと遷移することに。そして、クレジットカード情報やログインID・パスワードを入力させられ、詐欺師に情報が渡ってしまい、クレジットカードを利用されたり、利用サービスにログインされたりと被害に遭うのです。
メールにファイルが添付されていた場合、ファイルを開いただけでコンピュータウイルスに感染する可能性もあります。そのため、メール本文に記載されているURLだけではなく、添付ファイルにも注意しなければなりません。
最近多いのは、Amazonを装ったフィッシングメール。AmazonのID・パスワードを盗み出すことで、不正に買い物が行われます。パスワードが変更されて、ユーザーがAmazonへとログインできなくなり、為す術がなくなってしまう被害も多発しています。
EC事業者に向けたフィッシングメールとは? メールの例を紹介
EC事業者に向けたフィッシングメールに多いのは、そのECサイトで利用しているサーバーやサイト構築プラットフォームなど、インターネット事業者を装って送られてくるものです。メールに書かれたURLが、インターネット事業者に見せかけた詐欺サイトになっていて、管理画面へのログインを誘導しています。
本物の事業者だと勘違いして、ログインIDやパスワードを入力すると、詐欺師の狙い通り。メールで装っていたサービスはもちろん、同じID・パスワードで利用している別のサービスに、不正ログインされてしまうのです。
例えば、実際にfutureshopを装って、以下のフィッシングメールが出回ることがありました。
フィッシングメールには、EC事業者が何のサービスを利用しているかわかっていて
◆「その事業者になりすます」パターンのほかに、
EC事業者がどのようなサービスを利用しているか知らずに
◆「それっぽい事業者を装っている」パターンがあります。
それっぽい事業者を装うパターンでは、ID・パスワードを入力したEC事業者に対して、「サイトがどのようなサービスを使って運営しているのか」を分析・調査するツールなどが使われることも。その場合、EC事業者が利用するサービスを調べ上げられ、手に入れたID・パスワードを使って、そのサービスへ不正にログインされてしまうのです。
狙われやすいECサイトとは?
狙われやすいのは、ひとことで言うと「売れているECサイト」。
月商300万円から500万円を超えてくると、詐欺のターゲットになりやすい傾向があります。
フィッシングメールだけではなく、ECサイト上にスクリプトを埋め込まれてサイトが改ざんされるなど、さまざまな被害に遭う可能性が高まるため、特に注意しておかなければなりません。
フィッシングメールに潜む、EC事業者のリスク
EC事業者がフィッシングメールを開いてしまったら、どのようなリスクがあるのでしょうか?
最も危険なのは、顧客の個人情報が流出してしまうこと。
ECサイトは、住所や電話番号、メールアドレス、場合によってはアンケート等で取得したその人の趣味嗜好に関わる情報(よく行くお店や肌質等)など、多くの顧客の個人情報を保有しています。そのため、サイト構築プラットフォームの管理画面にログインされると、会員データがダウンロードされ、一気に情報が漏えいしてしまうのです。
自社の情報が漏えいするのはまだしも、顧客の個人情報が漏えいすると、会社の存続に関わる問題となります。責任が追及され、信用が落ち、事業や会社を続けるどころではなくなってしまうでしょう。
実際、フィッシングメールにアクセスしてユーザーの個人情報が流れ出たことで、大々的にニュースとして取り上げられ、会社の経営を続けていくことが困難になったケースも少なくありません。
サイト構築プラットフォームの管理画面にログインされた際のリスクは、ほかにもあります。たとえば、受注データがダウンロードされて売り上げ情報が流出したり、サイトが改ざんされたり。「明日は我が身」という意識を持ち、怪しいメールには不用意にアクセスせず、ID・パスワードを厳重に管理しておく必要があります。
フィッシングメールの見分け方
詐欺師がサービス事業者になりすまして接触してくる、フィッシングメール。では、本物のサービス事業者からのメールとフィッシングメールでは、どのように見分ければいいのでしょうか?
詐欺師は、本物のサービス事業者のメールをコピーアンドペーストして、そのまま送ってくることも多いため、メール本文で見分けるのは正直困難だといえます。
そこで注目していただきたいのがURLです。メール本文に記載されているURLは、本物とは異なるため、まずはURLを確認することがポイントです。
ただ、自社で利用している全サービスのURLを覚えておくことは、なかなかできることではありません。本物と似ているURLを取得している可能性もあるため、メールに記載されたURLは基本的に開かないように心がけることが大切でしょう。
「重要なお知らせ」「【注意喚起】パスワードの再設定」といった用件でURLを記載しているメールが届いても、不用意にリンクを踏まないこと。メールからはサイトにアクセスせず、ブックマークなどから自分が知っているURLにアクセスして確認してくださいね。
フィッシングメールの被害を抑えるため、EC事業者ができる対策
フィッシングメールは、その一通で会社の未来を左右する恐ろしいもの。特に個人情報の漏えいは、事業の存続に関わる問題だと理解し、日頃からセキュリティに対する意識をしっかりと持たなければなりません。サービス事業者側でできる対策には限界があるため、EC事業者側でできることを対策し、自分の身を自分で守っていくことが重要です。
では、フィッシングメールで被害を受けないために、EC事業者にはどのような対策ができるのでしょうか?
「不審なメールはクリックしないこと」「ID・パスワードはできるだけサービスごとに使い分けること」を基本として、futureshopの利用者を例に、EC事業者ができる対策と、futureshopのセキュリティ機能を詳しく紹介していきます。
ユーザーごとに管理者アカウントを発行する
futureshopの利用者ができる対策として、アカウントは複数人で使いまわさず、管理画面にログインするユーザーごとに管理者アカウントを発行することが挙げられます。
ひとつのアカウントを何人かで共有して使っていると、ID・パスワードが漏えいしても、不正なログインに気付きにくくなってしまいます。
実際、futureshopでは、同じアカウントによる重複ログインは許可されていません。もし同じアカウントで同時にログインされそうになった場合、先にログインしていたユーザーが強制的にログアウトされます。何者かによってログインされたことがすばやく判明するため、アカウントの廃棄やログイン設定など、すぐに対策を打つことができるのです。
ログインの記録は管理画面に残るので、不正ログインを発見しやすく、被害を抑えられます。
管理者アカウントごとに利用設定をする
管理者アカウントごとに利用設定をするのも、futureshopの利用者ができる対策のひとつです。
すべてのアカウントがすべての機能を利用できるようにしていたら、スタッフひとりのID・パスワードが流出したとき、被害が大きくなる可能性が高くなります。そこで、アカウント一つひとつに対して、ログインページを制限しておくことで、リスクを最小限に減らせるのです。
futureshopでは、「受注管理」「会員管理」「入荷お知らせメール」「メールマガジン」「 LINEメッセージ」など、さまざまな機能の閲覧を制限できます。例えば、ECサイトのデザイン担当者には、受注管理や会員管理の閲覧を許可しないといったように、ログインページの制限を設定しておきましょう。この細かな設定が、フィッシングメールの被害を食い止め、ECサイトに関わる人全員を守ることにつながるのです。
▼管理者設定の機能:個人情報を取り扱うご担当者を分けて運用したり、制作業務を外部委託する場合に、安全な運用をおこなうことができます。
管理画面に接続できるIPアドレスを制限する
管理画面に接続できるIPアドレスを制限することも、futureshopの利用者ができる対策として挙げられます。
IPアドレスを登録しておくことで、登録されていないIPアドレスからアクセスがあった場合、ID・パスワードが合っていても管理画面にログインできなくなります。
まとめ:フィッシングメールは他人事ではありません。日頃から対策をしておこう
フィッシングメールは、ニュースの世界でのできごとではありません。実際問題、「まさか自分たちがこんなことになるとは……」と多くの事業者が被害を受けており、人生をマイナスな方向へと大きく変えてしまっているのです。
決して他人ごとではなく、常に「自分たちをだまそうとする人や、攻撃してくる人はいる」と意識し、自分の身を守ることが大切です。
futureshopでは、セキュリティを何重にも固めています。たとえID・パスワードが流出しても、特定のURLにアクセスし、店舗を識別する店舗KEYを入力しなければログインできません。
ログインされたとしても、重複ログインはできず、ログが残り、アカウントによって利用できる機能が制限されています。
ただ、システム側でできる対策には限りがあります。そのため「ID・パスワードは使い回さない」など、EC事業者側でも対策をしておきましょう。
詳しい対策は、futureshopが発行するセキュリティブックをご覧ください。(futureshopユーザー様向けではありますが、他サービスをお使いの方も参考になる内容です。)
▷ セキュリティブックはこちら(PDF)
もし、メールボックスにfutureshopからの怪しいと感じるメールが届いたら……絶対にアクセスせず、すぐにご相談いただけたらと思います。
▼ セキュリティ面からも安心できる、SaaS型ECサイト構築プラットフォームfutureshopの資料請求はこちらから。