導入の背景・目的・課題

ECサイトの制作をおこなっているK社では、購入までの戦略を考え、お客様への的確な商品の見せ方の提案、サイト構築後の運用保守までトータルにサービスを提供しています。営業のT氏は、最近、他社制作のサイトでフィッシングサイトが確認されたと知り、頭を抱えていました。というのも、なりすまされたECサイトは、有名企業のものでも認知度が高いサイトでもありませんでした。対象サイトは売上減だけではなく、サイトの信頼回復に時間がかかるとの報告もあり、それは同社の制作サイトでも十分起こり得ることでした。

導入までの経緯

サイト構築に向け動いている案件もあるため、T氏は対策に乗り出しました。何件か被害例を確認したところ、一見ではニセモノと見分けがつかないサイトが多いこと、またネットショップ側になりすましたメールでフィッシングサイトへ誘導されることもあるようでした。そこへSNSでグローバルサインがフィッシングの情報をアップしているのを見つけ、何かヒントはないかと問い合わせをしてみることにしました。

営業担当者からは「フィッシング詐欺には、ウェブサイトへの対策とメールへの対策の2つあります。」と回答がありました。

1.ウェブサイトへの対策

  • 常時SSL(全ページSSL)化し、保護された通信でサイトを運営する
  • 企業認証SSLまたはEV SLLを採用する。万が一、フィッシングサイトを制作されても、サイトシールや鍵マークから、認証機関から証明された組織か否かを明示できる
サイトシールや鍵マークから、認証機関から証明された組織か否かを明示できる

2.メールへの対策

  • 顧客に送るメールには、送信者の安全性が確認できるようにメール用の電子署名を付けることで、なりすましメールの対策になる
送信者の安全性が確認できるようにメール用の電子署名を付ける

T氏は、構築中のECサイトを格安のドメイン認証SSLから企業認証SSLに変更すること、また送信先となる部門のメールに署名を入れる対策を講じました。

導入して良かった点

無事、構築中だったECサイトのアップを終えたT氏。急遽、講じた対策について顧客から感謝されたと言います。「費用的には上乗せするかたちとなってしまいましたが、いつ詐欺サイトのターゲットになるかわからないことや、もしものときに社会的制裁を受けるのは詐欺師だけではなく、運営企業側も加害者になると説明したことで、ご納得いただけました。その後、お客様もフィッシング詐欺のニュースをみたようで、事故を100%避けるのは無理でも、被害がないよう企業努力していたか否かで問われる責任も違う。対策しておいてよかったとおっしゃっていただけました。」

K社では、今後、新たに構築するサイトだけではなく、運用保守を行っているサイトも同様にフィッシング詐欺への対策を提案していくとのことです。