フィッシング詐欺サイトでクリックしてしまった、個人情報を入力してしまったときの対応

金融機関などのサイトを真似した巧妙な偽サイトをクリックさせ、引き出した情報を悪用するフィッシングサイトの被害が多く報告されています。社員がフィッシングサイトでクリックしてしまった場合にするべき対応を、あらかじめ知っておきましょう。

フィッシングサイトの例を知ろう

フィッシング詐欺は、昔からよくある詐欺の手口の1つです。偽のメールをクリックさせて悪意あるサイトに誘導し、個人情報を抜き取るという犯罪です。 このような詐欺にかからないためにも、フィッシングサイトのなりすまし例を知っておきましょう。

対策サービスをチェック

■フレッツ回線までOCNにおまかせ ■高速回線だから快適 ■固定IPアドレスで用途を拡大

メールサービスやGoogleのなりすまし例

メールサービスやGoogleになりすましたフィッシング詐欺の典型例を見ていきましょう。一例として、次のケースをご紹介します。 ある日、『重要なお知らせ』というタイトルのメールが届きました。「重要なお知らせがあります。続きはリンク先のGoogleドキュメントから確認をお願いします」という本文とリンクが記載されています。 リンクを踏むとIDとパスワードを入力するGoogleのアカウント画面があり、情報を入力してログインするとGoogleドキュメントが開きますが、何も書かれていません。 これは、典型的なフィッシングサイトの手口です。Googleを装った第三者にログイン情報を抜き取られてしまいました。このように、なりすましはぱっと見で判別がつかないものも多くあるのです。

誤ってクリックしたら

もし誤ってクリックしてしまったとしても、その時点では何か情報が引き出されることはありません。IDやパスワードなどの個人情報さえ記載していなければ、基本的には無視して構わないでしょう。 電子消費者契約法と特定商取引法の2つの法律によって、ワンクリックでの契約は無効と定められています。「契約が完了しました」などの画面が表示されたとしてもそれ自体で契約が締結されることはあり得ません。 上記のような事実を、自社の社員やユーザーに対し告知していく必要があると言えます。

個人情報を入力してしまったら

IDやパスワードなどの個人情報を入力してしまった場合、早急な対応が必要です。まず、フィッシングサイトが模倣していたサイトのIDとパスワードをすぐに変更してください。次に、もしそのサイトと同じパスワードを使っているサイトがほかにあれば、すぐにすべて変更してください。被害を最小限に抑えるために、日頃からパスワードを複数のWebサイトで使いまわししないようにすることをおすすめします。

企業が被害に遭った場合の対処

企業に属する社員がフィッシングサイト詐欺に遭うケースもありますが、それとは別に企業の名前を騙ってフィッシングサイト詐欺が行われる場合もあります。 ユーザーや取引先から、そのような報告を受けた場合の対処方法についても確認しておきましょう。

被害の把握と関係機関へ連絡

まずは、実際にどの程度の被害者が出ているか、把握に努めましょう。顧客や取引先へ調査をします。被害報告があった場合は、どのようなルートで被害に遭ったのかの聞き取りもすると良いでしょう。 このとき、これ以上被害を広めないためにも都道府県警察のサイバー犯罪相談窓口への届け出や、報道発表をすべきか検討してください。迅速な事態への対応が何よりも重要です。

注意勧告やテイクダウン依頼

利用者への問い合わせ窓口設置や電話対応の拡張、または自社のホームページやSNSなどを使って注意勧告をしましょう。被害が大きくなりそうなら、提携企業やマスコミとの連携も視野に入れます。 それと同時に、フィッシングサイトが利用しているプロバイダに連絡して、サイトを閉鎖してもらうためのテイクダウン依頼も申請しましょう。

被害対応と事後対応

対応窓口に寄せられた情報を元に被害状況を把握し、度合いによって対応を検討しましょう。金銭的な被害が発生する可能性が考えられるのであれば、被害がそれ以上出ないように企業として活動していくことが求められます。 また、事態が収束に向かったのであれば、フィッシング詐欺を再度発生させないための改善点や防止策などの事後対応を検討しましょう。サイト運営の注意点などの規定を設け、それらを社外に発表していくことも信頼回復に必要です。

企業に求められる対策

フィッシングサイト詐欺に企業が利用されないように、あらかじめ対策を練っておきましょう。有効的な対策について紹介します。

消費者向けの対策

消費者向け対策として有効なのは、自社サイトと詐欺サイトがはっきりと消費者の目に判別がつくようにすることです。そのために『SSL/TLS サーバー証明書』の取得を検討しましょう。 SSL/TLS サーバー証明書は、第三者機関によって信頼できるサイトだという証明になります。アドレスが『http』から『https』になり、プロパティから証明書を発行した機関が確認可能です。 より信頼のある第三者機関に依頼すると、フィッシングサイトには真似できなくなるので、フィッシング詐欺のターゲットにされる可能性が下がります。

対策ソフト導入

社内に向けてもフィッシング詐欺への対策をしましょう。その一環として有効なのが、セキュリティソフトの導入です。セキュリティソフトは、スパムメールやフィッシングメールを検知して除外してくれますし、怪しいサイトへのアクセスを遮断します。 これらの機能を自社PCに導入すると、社員がフィッシングサイト詐欺にかかるリスクはかなり低減するでしょう。

社内におけるセキュリティ教育

先述のように、フィッシングサイトに引っかかってワンクリック契約をしたとしても、法律により無効になります。しかし、被害が後を絶たないのは、この事実を知らないからという可能性も高いでしょう。 このような例をはじめ、社員がセキュリティに対して一定の知識があると、詐欺に遭う確率が低くなります。詐欺に遭ったとしても、その後の被害拡大を防げるのです。 セキュリティ教育をすることで、社員1人ひとりがトラブルに遭遇した際に適切な行動が取れるようになるでしょう。

まとめ

フィッシングサイト詐欺は自社の社員が引っかかる可能性だけではなく、自社が詐欺サイトに利用される可能性もあります。そのような場合には、自社の顧客や取引先を守るために、テイクダウン依頼などの迅速な対応を行っていきましょう。 SSL証明書の取得や、社員1人ひとりに対しセキュリティ教育をすることで、あらかじめ詐欺に利用されない体制を築くことも重要です。

紹介動画

企業を狙うサイバー攻撃は巧妙化。セキュリティソフトを入れておけば安心という時代は終わり、多層防御によるセキュリティ対策が急務です。多層防御とは?ポイントを含めご紹介します。

セキュリティ対策を怠ったために、取引先にまで、マルウェアを感染させてしまったら・・・。ほぼすべての中堅・中小企業がサイバー攻撃を受けていると言われています。専門ベンダへのアウトソース、インシデント時の緊急体制の整備、サイバー保険。セキュリティに関する業務を一人で抱え込まないためのポイントをご紹介します。

お客さまの課題やお困りごとに合わせた
豊富なラインナップをご用意

OCN光 IPoEサービス

  • 企業向けベストプラン

    OCN光 IPoEサービス
    ワイドプラン

    標準プランからさらに3倍の帯域設計(従来サービスの6倍)。
    ワイドプランならではの特長として、Windows Updateによる通信をそのほかの業務用の通信から分離。安定した通信が可能。

  • オンライン会議に最適

    OCN光 IPoEサービス
    ワイドプラン オプションサービス
    アプリコントロールA

    ワイドプランに加え、映像によるリモート会議・商談の通信を別経路に分離。
    ストレスフリーなコミュニケーション環境を実現します。

  • OCN光 IPoEサービス
    標準プラン

    従来サービスから2倍の収容設計!
    動画サービスなど、混雑の原因となりやすい個人向けインターネット通信のトラフィックを論理的に分離。
    快適なインターネット接続環境を実現。

  • OCN光 IPoEサービス
    vUTMセット

    IPoEインターネット接続とクラウド化されたUTM機器をセットで提供。運用保守をNTT Comが行うため、つねに最新のセキュリティ対策を実現します。クラウド利用時のセキュリティ対策にも最適です。

  • OCN光 IPoEサービス
    VPNセット

    高品質なOCN IPoEインターネット接続と拠点間VPN機能、専用レンタルルーターをセットで提供。
    IPsecによる暗号化技術により、インターネットVPNによる高品質な拠点間通信を実現します。

このページのトップへ

法人向けインターネット回線

IPoEサービス

契約社数11万社

OCNが選ばれる理由

最適なプランのご相談など
お気軽にご相談ください

お問い合わせ

法人向けインターネット
サービス詳細

詳細はこちら
契約社数11万社

OCNが選ばれる理由