サイバー攻撃により、企業や個人が被害を受ける件数は年々、増加傾向です。色々な攻撃手法がありますが、なかでもフィッシング詐欺は悪質なサイバー攻撃の1つです。フィッシング詐欺の撲滅を目指して、国や金融庁は動いており銀行や、決済サービス会社に注意喚起を行い適切な行動や対策を促しています。サイバー攻撃の被害を未然に防いだり、拡大させないようにしたりするためには、企業のセキュリティを厳重にしなければいけません。

この記事では、フィッシング詐欺の基礎知識や、セキュリティ対策が企業に必要な理由と、5つの被害事例やとるべき対策についてお伝えしていきます。

フィッシング詐欺の基礎知識

フィッシング攻撃は、メールや偽のWebサイト、アプリなどを通じて機密情報を盗むための詐欺手法です。

2020年に金融庁では、銀行や決済事業者にフィッシング詐欺への注意喚起と、さらなるセキュリティの強化を求めました。提供するシステムやサービスに脆弱性を発見した場合は、多要素認証の導入を推奨しており、セキュリティの強化を促しています。警察もフィッシング詐欺の抑止に力を入れており、各都道府県にサイバー犯罪報告の窓口が設置されています。

フィッシング対策が企業に必要な理由

デジタル化が加速する現代社会では、フィッシング攻撃は企業経営を揺るがす重大な脅威となっています。フィッシング対策協議会の報告によると、2024年9月のフィッシング報告被害の件数は、1ヵ月で約148,000件というデータが出ています。フィッシング詐欺のなかでも、企業を装ったビジネスメール詐欺が増加傾向です。企業が対策を怠ると顧客情報の流出だけではなく、取引先との信頼関係を失ったり、ブランド価値の低下に繋がるリスクがあるため早急な対策が求められます。

フィッシング詐欺による5つの被害事例から学ぶ危険性

ここまでで、フィッシング詐欺の基礎知識や、セキュリティ対策が企業に必要な理由をお伝えしてきました。実際に企業や個人が、どのような被害に遭っているのか、事例を知りたい人もいるのではないでしょうか。

次の項目では、フィッシング詐欺による5つの被害事例から、学ぶ危険性をお伝えしていきます。

カシオ

カシオでは「casio-co-jp.com」のドメインを使った、フィッシング詐欺の事例がありました。社名や社員を名乗った不審な電子メールが、不特定多数に配信されるフィッシング攻撃の被害を受けています。

公式サイト：https://casio.jp/info/caution3/

Amazon

Amazonではフィッシング詐欺被害の件数が増加傾向です。具体的には、BBSSによる「2024年12月度のインターネット詐欺レポート」で、先月と比べて被害件数が1.5倍ほど増加しているデータがありました。フィッシング攻撃の手口は、メール等でWebサイトのURLを不特定多数に配信し、利用者にログイン情報を入力させて情報を抜き取るというものです。

三井住友カード

三井住友カードもフィッシング詐欺被害の件数が増加傾向です。Amazonへのフィッシング攻撃と同様の手口です。BBSSによる「2024年12月度のインターネット詐欺レポート」では、件数が先月と比べて4倍以上に増加しているデータがありました。

イオンカード

イオンカードは、偽のメールやWEBサイト等から、情報を窃取するフィッシング詐欺が増えています。イオンカードの仕組みである、その場で限度額などのカード情報の照会を行わないオフライン取引が悪用されているのです。

Microsoft Teams

Microsoft Teamsでマルウェアを含むファイルを、ダウンロードさせるフィッシング攻撃の被害が増えています。Teams上でフィッシングメッセージを送信して、ユーザーにマルウェアをダウンロードさせて、情報を盗み取るという手口です。

企業がとるべき重要な5つのセキュリティ対策

フィッシング攻撃から、企業の情報資産を保護するためには、厳重なセキュリティ対策が欠かせません。次の項目では、企業がとるべき重要な5つの、セキュリティ対策をお伝えしていきます。

多要素認証

システムやサービスへのログイン時に、多要素認証（MFA）を導入することで、不正アクセスの防止に効果があります。多要素認証は、ユーザーがシステムにアクセスする際に、複数の確認手段を求めるセキュリティ方法です。パスワードだけではなく、ワンタイムパスワードや生体認証など、複数の認証要素を組み合わせることで、セキュリティレベルが大幅に向上します。

ゼロトラストセキュリティの導入

ゼロトラストセキュリティとは、ネットワーク内外の全てのアクセスを常に検証し、「全ての通信を信用しない」を前提としたセキュリティモデルです。社内外を問わず全てのアクセスを厳格に検証して、不正な活動を未然に防ぎます。従来のセキュリティモデルでは、防ぎきれなかった脅威にも対応できます。クラウド型のゼロトラストプラットフォームを活用して、端末認証とデータ暗号化を組み合わせるのが主流です。

従業員教育

フィッシング攻撃の多くは、個人や従業員の不注意や知識不足を狙っています。そのため、企業では従業員への定期的なセキュリティ教育が重要です。フィッシングメールの見分け方や適切な対処法を学ぶことで、組織全体の防御力が高まります。フィッシング対策の教育を受けた従業員は、偽メールに対する判別精度の向上が期待できるでしょう。

データのバックアップ

万が一、攻撃を受けてデータが損失しても、定期的なバックアップがあれば迅速な復旧が可能です。重要なデータを安全な場所に保管して、バックアップの頻度や方法を見直すことで、被害を最小限に抑えられます。

例えば、企業のバックアップの損失リスクを軽減させるために、1つは本社、1つは支社など遠隔地にデータを複数の場所に保存するのが効果的です。自動バックアップと、クラウドストレージを組み合わせることで、データ復旧時間の短縮が見込めます。

AI監視ツール

機械学習を応用した監視ツールが、フィッシング攻撃の早期発見に有効です。最新のAI技術を活用したセキュリティツールは、AIが異常な動きやパターンをリアルタイムで検知します。見逃しがちな脅威を早期に発見し、迅速な対応が可能です。ただし、現在の能力では100%検知は難しく、誤検知のリスクもあるため課題は残ります。

まとめ

フィッシング対策は、企業の情報資産を守るために欠かせません。フィッシング対策や、その他のサイバーセキュリティ対策を講じることで、企業は重要なデータと資産を保護し、ビジネスの継続性を確保できます。

総合的なセキュリティ対策を実施することで、セキュリティレベルが向上します。安全なオンライン環境の構築によって、信頼性のあるビジネス運営が可能になるのです。常に最新の情報と技術を取り入れ、安全なビジネス環境を維持していきましょう。