2023年版：偽サイト、社名の不正使用、フィッシング詐欺対策の４ステップ

フィッシング詐欺を疑う
2022年末頃から、偽SNSアカウントや偽サイト、社名の不使用による事故が以前より目立つようになってきました。

たとえば自社の公式サイト以外で
●自社の住所や社名・代表者名が勝手に使用されている
●自社サイトのコピーサイトが作成されている

こうした場合、自社製品の紹介や販売などの協力目的でないなら、悪意でカード情報やパスワードなどを取得する「フィッシング詐欺」を疑う必要があります。

放置していると、
●フィッシングサイトを利用したユーザに不利益や被害
●自社のブランドや信頼の毀損と不正注文
が発生します。

初動：フィッシングサイトかどうかを判断する
まず社内メンバーを含めた対策チームを作って、フィッシング詐欺サイトであるかどうかを客観的に判断します。このとき、あわててサイト運営者ひとりの感情的な判断とならないためにも、可能な限り複数名で判断してください。経験か知識が豊富なお友達でも良いので自分以外の視点を持つようにしておきましょう。その上で

●フィッシングサイトと判断できた場合は以下の4つの対策をとります。
●判断できない場合は、以下の「3：フィッシングサイトを閉鎖する」を参照して専門家から意見を求めて下さい。

1：SNS、メルマガ、ニュース欄などで注意喚起する
ユーザの被害を最小限にとどめるためにも「弊社を語る不審なサイトにご注意下さい。」といった告知を、SNS、メルマガ、ニュース欄などで既存の自社ユーザやサイト訪問者に伝えることが重要です。

その際、ユーザが安心して利用できる、自社が運用する公式サイト一覧もあわせて記載しておきましょう。また表現方法もブランディングによって様々です。参考になる、かつ、表現がことなる3パターンをご紹介しておきますので表現に迷われた場合は参考にされてみて下さい。

例：アップル：シンプルでおだやか
https://support.apple.com/ja-jp/HT201679
例：メルカリ：事例が丁寧に記載されている
https://about.mercari.com/security/phishing/
例：ニトリ：偽や！などを使って警告度を上げている
https://www.nitori-net.jp/ec/caution/

2：該当のユーザアカウントを停止する
既にユーザがフィッシングサイトに情報を入力したことがわかっている場合、フィッシングサイトに入力したID/パスワードを使って自社サイトで商品を「なりすまし購入」される可能性があります。

自社サイトのシステム管理者に相談して、ユーザアカウントを停止→パスワードを変更→ユーザに新しいパスワードでアカウントを再開してもらうという作業をおこなってください。

3：フィッシングサイトを閉鎖する
悪意ある偽サイト（フィッシングサイト）は、しかるべき手順で閉鎖に追い込むことが可能です。
JPCERT/CC：フィッシングサイト閉鎖依頼フォーム
https://form.jpcert.or.jp/irform/input/phishing?r=o

webセキュリティの専門機関である一般社団法人 JPCERT/CC では専用のフォームを設けており、サイトの閉鎖まで無料で行ってくれます。
(https://www.jpcert.or.jp/ir/faq3.html)
※フォームの「報告目的」に「フィッシングサイトの閉鎖依頼」と記載してください。

また対象となるサイトがフィッシングサイトなのかどうかが判断できない、あるいは例外的な状況で対応がわからないなど、フィッシングに関する相談も無料で受け付けています。

4：警察のサイバー犯罪対策課に連絡
すでに被害が発生していることがわかっている場合は、フィッシングサイトが記載している住所の所轄警察署のサイバー犯罪対策課に連絡して対応を相談して下さい。
https://www.npa.go.jp/bureau/cyber/soudan.html

追加でやっておくべき作業3つ
上記を終えたら、並行して以下の作業も行っておくことをお薦めします。

１：担当地域消費生活センターに通報
https://www.kokusen.go.jp/map/

２：フィッシングサイトをインデックスから除外
●Googleに通報
https://safebrowsing.google.com/safebrowsing/report_phish/?hl=JA
●bing に通報
https://www.microsoft.com/en-us/wdsi/support/report-unsafe-site-guest

３：SNSでのフィッシング活動が確認できている場合はSNS運営元に通報
●facebookやinstagram：確認できている投稿の「[報告する]リンク」から通報。広告運用している場合はサポート担当に連絡。
●twitter：専用フォームから通報
https://help.twitter.com/ja/forms/authenticity/impersonation

ただしSNSについては運営側の対応がスピーディで無く、また提出書類が必要など対応完了まで時間がかかるケースも多い印象です。このためフィッシング被害の元を絶つ意味でも並行して「3：フィッシングサイトを閉鎖する」を優先してすすめることをお薦めします。

未然に予防や再発防止はどうすれば良いのか？
完全に根絶するというのはなかなか難しいことですが、今後こうした状況を回避し、できるだけ早く察知する方法として以下をお薦めします。

●フィッシングメール対策として、DMARCの導入を検討する。
https://www.antiphishing.jp/enterprise/domain_authentication.html
●フィッシング悪用されていることをいち早く察知しメールでお知らせされるよう、Googleアラートなどを準備しておく。

※参考：『炎上させない、しても慌てない、ソーシャルメディア防災マニュアル　（筆者がSalesforce社にて連載）』
https://www.salesforce.com/jp/blog/2012/08/vol9-socialmedia-manual.html

もし上記作業をおこなって不明点や判断しづらい、なかなか対応が進まない、などがございましたらお気軽にご相談ください。