フィッシング詐欺対策については、受信者側に不審メール注意喚起を促す啓発活動が活発に行われていますが、被害はなかなか減少せずむしろ増加しています。業種別の割合では、金融機関を騙るフィッシング詐欺が全体の6割を超えています
こうした中、フィッシング詐欺を受信者の自己責任に任せることだけでなく、企業責任としてフィッシング詐欺対策をすることが重要になってきています。

金融機関を装った最近のフィッシング詐欺実例

まず、最近の金融機関におけるフィッシング詐欺事例を3例見てみましょう。

ゆうちょ銀行事例 2016年04月13日最終更新情報

りそな銀行事例

三井住友銀行事例

みずほ銀行での電子署名付きメール発行の取り組み

金融機関でのフィッシング詐欺が拡がる中で、みずほ銀行では顧客向けに電子署名付きのメールを発行する試みを開始しました。

 

取り組みの概要

フィッシング詐欺などにつながる電子メールを安全な仕組みで配信する取り組みです。具体的には下記の2点を実現します。

  • 1.電子メールの送信者が確かにみずほ銀行であることを保証
  • 2.電子メールの内容が途中で改ざんされていないことを保証

方法はS/MIMEというしくみを使います。S/MIMEでは、送信者はメール本文と電子証明書に電子署名を付加し、添付ファイルにしてメールを送信します。この規格を使うと、セキュリティの高い認証や暗号化通信が可能になります。

S/MIMEを使ったみずほ銀行の取り組みの意義

先ほど確認した事例では、「不審メールを受け取ったら銀行の窓口に連絡」(ゆうちょ銀行)「不審メールを無視することと、ワンタイムパスワードの利用」(りそな銀行)「暗証番号の変更とウイルスチェック」三井住友銀行となっています。3行ともメールを受け取った時の適切な注意喚起、フィッシング詐欺サイトにアクセスしてしまった後のパスワードの強化、ウイルスチェックと、不審メールを受け取った受信者側での対策がメインとなっています。

こうした中で『みずほ銀行からのメールマガジン等への電子署名の付与について 電子署名付き電子メール』の取り組みは、「メール送信者側のフィッシング詐欺対策」だと言えるでしょう。

フィッシング詐欺対策にS/MIMEによるメール署名を使うメリットとデメリット

このように、S/MIMEによる電子メール署名を導入すれば、受信者側の注意喚起に期待するだけでなく、送信者側もフィッシング詐欺撲滅に向けて責任を果たすことができます。

フィッシング詐欺サイトを開設して偽メールを送ること自体は、本来の送信者とは無関係の第三者が実行することなので完全には阻止できません。

しかし、普段から自分が口座を開設している銀行からのメールをS/MIME方式で受信していれば、パスワードの変更などを促すフィッシングメールに電子署名がついていない場合に、「普段の銀行からのメールと違う!おかしい・・・」と気がつくことが容易になります。通信途中の改ざん検知も可能になりますのでセキュリティ度が格段に高まるメリットなどがあります。
一方、S/MIME導入のデメリットとして、認証局の運用コストや証明書のライセンス料金の発生、メールゲートウェイ設置費用等の問題もありますので、導入にあたっては費用対効果を考慮する必要があります。
メールだけでなく、企業のサイトにもSSLサーバ証明書を導入することで、フィッシング詐欺サイトか否かを判別するようにできます。

責任ある企業として、電子メール送信側のフィッシング詐欺対策をはじめよう!

フィッシング詐欺は電子メールを使った「振り込め詐欺」と同じです。完全に引っかかるほうが悪いと言って済ませてしまうわけにはいきません。企業として加害者に加担しないためにも注意の必要性をアナウンスするだけでなく、積極的にセキュリティの対策を施す必要があります。これまでは銀行などの金融機関がフィッシング詐欺の対象として狙われていましたが、今後は金融機関以外の企業や団体についても対象として狙われることがないとはいえません。

本ブログでは銀行をターゲットにしたフィッシング詐欺および対策について記述いたしましたが、顧客サービスの一環として、また企業のブランドイメージ向上のためにも、S/MIME導入による電子メール送信側のフィッシング詐欺対策を検討してみてはいかがでしょうか。

トピック関連記事

#

2018年06月12日

本当に本人から?見えない相手の真偽がわかる「電子署名」

#

2020年11月10日

ビジネスメール詐欺(BEC)対策として知るべきメールセキュリティ

#

2020年12月15日

パスワード付きZipファイル利用廃止後の代替手段

この記事を書きました

グローバルサインブログ編集部

グローバルサインカレッジ編集部
所属:GMOグローバルサイン マーケティング部
当サイトの運営・管理を担当。