偽ショッピングサイト（偽通販サイト）が企業にもたらすリスク　後編

偽ショッピングサイトに関する企業にとってのリスク

前編で解説したように、企業が偽ショッピングサイトの脅威に関して、受けるリスクには大きく以下の2つがあります。

1．犯罪グループによって、Webサイトを改ざんされ、SEOポイズニングに加担させられる。
2．偽ショッピングサイトに自社名や自社ブランドを騙られる。

自社のWebサイトを改ざんされ、SEOポイズニングに加担させられると、以下のような被害が発生します。
●検索エンジンで、自社Webサイトのドメインで(偽の)ショッピングサイトを運用しているかのような検索結果が表示されてしまう。
●Webサイト改ざん時にサーバ遠隔操作ツールを設置されているため、サーバを遠隔操作され、別の犯罪に加担させられる可能性がある。

図1:SEOマルウェアを設置されたことによりSEOポイズニングに加担させられたWebサイトの検索結果表示の例

Webサイト改ざんによるSEOポイズニングでは、SEOマルウェアを用いて改ざんサイトのドメインパワー(検索エンジンからの信頼度)を悪用され、偽ショッピングサイトを検索結果の上位に表示するようにさせられてしまいます。また、上記検索結果から自社Webサイトを訪問した利用者を偽ショッピングサイトへ転送してしまいます。これにより利用者に自社が偽ショッピングサイトを運営していると思われてしまう可能性があります。
また、犯罪グループはWebサイト改ざん時にサーバ遠隔操作ツールを設置し、これを悪用してサーバ上でSEOマルウェアを動作させるようにします。つまり、実際には犯罪グループはSEOマルウェアの動作設定のみならず、この遠隔操作ツールで可能な様々なことを行えるということになります。例えば、サイト上に保存されている機密情報や個人情報を窃取したり、他の企業・組織への攻撃に加担させられたりする可能性があります。

一方、企業にとって、偽ショッピングサイトに自社名や自社ブランドを騙られる場合は、以下のような被害が発生します。
●自社ブランドを騙られることにより、自社の評判、ブランドイメージが毀損する
●問い合わせ対応が必要で人的コストが増加する
●テイクダウン(サイト閉鎖依頼)、ブロック対応が必要で人的コストが増加する
自社ブランドが偽ショッピングサイトに騙られることにより、自社の評判が下がってしまったり、ブランドイメージが毀損したりするリスクがあります。特に、自社ブランドのコピー品や粗悪品が被害者に送付されるケースでは、被害者が偽物であることに気が付かず、自社ブランドに対して悪いイメージを持ってしまうかもしれません。

自社が偽ショッピングサイトに騙られているということは、多くの場合、被害者や警察からの連絡によって気づくことになります。騙られた企業は、被害者に自社が偽ショッピングサイトに関係ないということを説明したり、警察への対応をしたりする時間が割かれます。しかし、企業側も偽ショッピングサイトに騙られた側ではあるものの、偽ショッピングサイトで商品を購入してしまった被害者に丁寧に対応することは重要です。もしこの時、自社に全く関係ないからと言って被害者を突き放すような態度をとると、心証が悪くなり、自社の評判を下げてしまうリスクがあります。

偽ショッピングサイトのテイクダウン(閉鎖依頼)やブラウザからのアクセスブロックをセキュリティベンダーやブラウザベンダーに依頼することも可能です。しかし、偽ショッピングサイトは日々無数に作られており、その中を監視し自社が騙られているかどうかを確認するのは非常に手間がかかります。偽ショッピングサイトに対応する専門の人員が置ければよいかもしれません。しかし、そのような人員を確保するのは人材面、コスト面からも難しいでしょう。

偽ショッピングサイトのリスクに備えるには

前述の通り、偽ショッピングサイトに関する被害は、被害者からの問い合わせや警察からの通知など、外部からの指摘によって気づく場合が多いと考えられます。ここから言えるのは自社のWebサイトが改ざんされていたり、自社名や自社ブランドが偽ショッピングサイトに騙られていたりすることを事前に気づくことが困難だということです。したがって、企業のセキュリティ部門としては、被害が発生したときにどのような対応をとるかあらかじめ内部で議論しておく必要があります。例えば、偽ショッピングサイトの被害者からの問い合わせや、偽ショッピングサイトを発見したという指摘があった際に、対応する部門はどこになるか、という課題があります。営業、広報、法務、経営者等がどう連携を取って対応するかを考えておく必要があるでしょう。
　
Webサイト改ざんに対しては、Webサイトのセキュリティ対策をしっかり行っておくことが必須です。具体的には、サーバソフトウェア、CMS等のWebアプリケーション、および各種プラグイン、といったソフトウェアの脆弱性を放置しないことが重要です。セキュリティ製品では、変更監視機能やセキュリティログ監視機能を有効にしておき、Webサイトに侵入された際にすぐに気づけるようにしておくことが重要です。加えて、管理者のパスワードを強固にしておくことや、管理画面へのアクセス元IPアドレスを制限したりしておくことも必須と言えます。

一方、自社や自社ブランドが偽ショッピングサイトに騙られてしまうことを防ぐことは困難です。不幸にも偽ショッピングサイトに自社が騙られてしまった際には以下のような対応手順になると考えられます。
●クレーム元の被害者への説明–購入先サイトが無関係であることを説明し、警察に相談するよう協力を求める
●公的機関への相談・情報提供を行う
●注意喚起の掲載をする
●ドメインやサーバ管理会社にテイクダウンを依頼する

特に、注意喚起については、一般のインターネット利用者へ届くような情報発信が必要になります。注意喚起をするとなると、多くの企業でセキュリティとは別の部門が対応することが多いと思います。しかし、消費者への注意喚起による被害者の抑制、犯罪グループへの警告、企業の意識を示すためにも、セキュリティ部門からも助言を行い、適切な注意喚起や対応マニュアルの準備をすることは、組織全体の損失最小化に有効になると考えます。筆者としては、注意喚起のベストプラクティスは確立していないと考えますが、いくつかの避けるべきバッドプラクティスはあると考えます。例えば、以下のような注意喚起は避けるべきです。
●サイト上の目立たない場所に置いてあり、利用者が注意喚起記事に到達できない
●日付が古く、状況が更新されない
●テンプレート的な注意喚起で、利用者の興味を引かない、伝わらない（図2として例示）
●検索エンジンの検索結果として現れにくい

筆者が調査している中で、逆に検索エンジンを活用し、自社ブランド、自社製品に関する広告の中に偽サイトに関する注意喚起を含めることで偽サイトの脅威に対抗しようとする企業がありました。このような行動は注意喚起としての効果が高いのではないかと考えます。

また、偽ショッピングサイトのテイクダウンは、テイクダウンの根拠となる偽ショッピングサイトの違法性、有害性の立証が困難な場合が多いようです。偽ショッピングサイトに企業のロゴ等が表示されている場合は商標法違反として対応してもらいやすいと考えられます。テイクダウンはプロバイダ、ホスティング業者、レジストラ等、組織間でのやりとりが必要な作業になりますので、テイクダウンが可能そうであれば対応を検討してください。

まとめ

2回にわたる本連載では、偽ショッピングサイト（偽通販サイト）を運営している犯罪グループが企業にもたらす経営上のリスクについて前後編にわけて解説しました。前編では偽ショッピングサイトに関わる犯罪の手口の概要を解説し、SEOマルウェアを用いたSEOポイズニングと企業名・ブランドの詐称が企業の経営リスクとなることを解説しました。

後編ではこのような犯罪手口から生じる経営リスクの詳細について説明し、企業がどう備え対応するべきかについて検討しました。企業としては、Webサーバのセキュリティ対策をしっかり実施すること、および自社名や自社ブランドが詐称された際の対応を予め内部で議論しておくことが肝要と考えます。
最後に、トレンドマイクロはJC3をはじめとした様々な公的機関、組織と緊密に協力して偽ショッピングサイトによる被害の対策に取り組んでいます。これからも偽ショッピングサイトによる被害の撲滅を目指して様々な取り組みを推進していきます。

偽ショッピングサイト（偽通販サイト）が企業にもたらすリスク　前編

偽ショッピングサイト（偽通販サイト）は、通販利用者や通販事業を営んでいる企業だけではなく、すべての企業の経営リスクとなるサイバー脅威です。偽ショッピングサイトが企業にもたらす経営上のリスクと対策を全2回に渡り解説します。

サイバーセキュリティ・イノベーション研究所
スレット・インテリジェンス・センター

トレンドマイクロのサイバーセキュリティ・イノベーション研究所の中核センターの一つ。サイバースレットリサーチを通じ、日本社会と国内組織の安全なセキュリティイノベーション推進を支援する研究組織。日本国内を標的にした高度なサイバー攻撃や国家が背景にあるサイバー攻撃など、グローバルとリージョン双方の視点で地政学的特徴や地域特性を踏まえた脅威分析を行い、日本社会や国内組織に情報提供や支援を行う。