なりすまし・フィッシングの急増で被害増大
フィッシング対策協議会の報告によると、2019年は前年比で約3倍、2020年は同4倍に急増しています。2021 年 7月のフィッシング報告件数は 34,787 件で、2020年8月から約1.7倍に増えています。そのうち、Amazon をかたるフィッシングは報告数全体の約 33.1% を占めており、次いで三井住友カード、楽天、イオンカード、VISA をかたるフィッシングの報告も含めた上位 5 ブランドで、報告数全体の約 67.8% を占めています。
なりすまし防止対策と企業ができること
なりすまし防止対策として企業ができることは、おもに以下4つです。
- ブラックリスト管理(監視)
- 人力でのモニタリング
- 不正検知システムの導入
- 多要素認証
ブラックリスト管理(監視)
インターネットに接続された機器を識別するためのIPアドレスを管理(監視)します。IPアドレスはパケットを送受信する機器を判別するために使われており、機器ごとに単一の番号が割り当てられるのでブラックリスト管理が可能です。ただし、IPアドレスは変更・偽装ができるため、ブラックリスト管理(監視)の効果は短期間・限定的です。
人力でのモニタリング
人力でのモニタリングは、もっとも原始的な方法です。しかし、すべての決済やログインを人力でモニタリングするには人件費などのコストがかさみ、監視できる時間帯も限らるため効果は限定的です。
不正検知システムの導入
大量のアクセスでもリアルタイム・高精度に不正アクセスを検知できるシステム(不正検知システム)の開発が進んでいます。取引データなどの情報から危険性を判断するもので、金融機関等での導入が増えています。
多要素認証
多要素認証とは決済やログインをする際、ユーザーに対し複数の異なる要素を要求する認証方式です。パスワードの入力の他に、SMSで送られるワンタムパスワードの入力や、秘密の質問への回答でユーザーを認証し、セキュリティを強化します。なかでもSMS認証(電話番号認証)は、そのほかの認証サービスと比較しても強力なセキュリティで、信頼度の高い認証方法です。
なりすまし防止対策でSMS認証を導入するメリット
SMS認証には以下のような特徴があるため、なりすまし防止策として効果的です。
個人を確実に特定しやすい
ひとり1台は必ず持っている携帯電話を使うため、電話番号から個人を特定しやすいです。また特別な機器は必要ないので、システム整備のため導入コストが低く抑えられます。Eメールアドレスはひとりで複数持つことができるため、メールが届かなかったり気づいてもらえないことがあります。
携帯電話番号は変更されにくい
携帯電話番号はEメールアドレスと異なり、変更されにくいという特徴があります。特に、ナンバーポータビリティーサービスに普及により、契約している携帯会社を変更しても電話番号はそのまま利用している人が増えています。そのため、認証サービスにも同じ電話番号が利用できます。
不正アクセスを防止しやすい
基本的に携帯電話は常に自分の手元においておくものなので、パソコンと異なり第三者に勝手に利用されるリスクが低くなります。紛失や盗難にあった時に気付きやすく、端末の利用をすぐに止めることができます。
また、IDとパスワードがあればどの端末からもできるEメールアドレスと異なり、携帯電話端末が必要なので不正アクセスを抑制できます。
ガラケーも利用可能
LINEのようなメッセージングアプリと異なり、SMSの利用にはアプリなどのダウンロードが不要なため、スマホに限らずフューチャーフォン(ガラケー)でも使えます。そのため、幅広いユーザーに低コストで高いセキュリティサービスを提供可能です。
補足:個人のなりすまし防止対策
各種キャリアでは、パソコンからケータイのアドレスになりすまして送信されたメールを受信しないようにするための「なりすましメール拒否」サービスを提供しています。また、携帯会社によっては携帯のアドレスだけではなく、「送信ドメイン認証技術」を利用して他のドメインになりすましたメールを拒否する方法もあります。なりすましメールが届かないよう、あらかじめ設定しておくとよいでしょう。
企業側でできるなりすまし防止対策を
なりすまし対策は、「個人の責任」とユーザーに求められるものが多いですが、企業側でできることも多くあります。自社に責任はなくとも、一度のっとりなどをされてしまうと「セキュリティのあまい会社」というイメージから顧客の離脱につながりかねません。まずは企業側でできるなりすまし防止対策で顧客を守りましょう。