企業サイトが偽 EC サイトへの踏み台にされたケースを紹介 ~ IPA 相談状況 | ScanNetSecurity
2024.03.04(月)

企業サイトが偽 EC サイトへの踏み台にされたケースを紹介 ~ IPA 相談状況

IPAは、2023年第4四半期(10月~12月)における「情報セキュリティ安心相談窓口の相談状況」を発表した。同四半期における相談対応件数は3,176件で、前四半期から約46.9%増加した。

調査・レポート・白書・ガイドライン
相談件数の推移

 独立行政法人情報処理推進機構(IPA)は1月23日、2023年第4四半期(10月~12月)における「情報セキュリティ安心相談窓口の相談状況」を発表した。同四半期における相談対応件数は3,176件で、前四半期から約46.9%増加した。

 相談件数を手口別にみると、「ウイルス検出の偽警告」に関する相談が1,324件最も多く全体の41.7%を占めた。以下、「宅配便業者・通信事業者・公的機関をかたる偽SMS」(165件:5.2%)、「不正ログイン」(103件:3.2%)、「暗号資産(仮想通貨)で金銭を要求する迷惑メール」(47件:1.5%)、「ワンクリック請求」(34件:1.1%)と続いた。

 前四半期からの推移では、「ウイルス検出の偽警告」に関する相談は約2.1倍、減少傾向にあった「宅配便業者・通信事業者・公的機関をかたる偽SMS」は約75.5%増加、「不正ログイン」は約16.9%の減少、「暗号資産(仮想通貨)で金銭を要求する迷惑メール」は約2.9倍と最も増加、「ワンクリック請求」は約13.3%の増加となった。

 「暗号資産(仮想通貨)で金銭を要求する迷惑メール」の増加は、2023年12月25日に警察庁と金融庁が発表した「フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について」という注意喚起を裏付ける形となった。フィッシングからの不正送金被害の件数は5,147件、被害金額は約80.1億円と前年比で約5倍の過去最高を記録した。不正送金先も暗号資産に移行しているという。

 レポートでは相談事例として、「自社ウェブサイトを改ざんされ偽ECサイトへリダイレクトする踏み台にされた被害」、「自社をかたる不審なメールの発信」、「偽のセキュリティ警告(サポート詐欺)からネットバンキングの不正送金をされた被害」、「偽SMSのフィッシングから不正送金されたと思われる被害」の4つを取り上げている。

 自社ウェブサイトを改ざんされ偽ECサイトへリダイレクトする踏み台にされた被害の事例では、「自社のウェブサイトを改ざんされた」、「CMSにウイルス駆除用のプラグインを入れて対処を行ったが、自社サイトのドメイン名を検索すると依然として多数の偽サイトが表示される」という相談内容であった。

 IPAが「site:ドメイン名」のキーワードで検索したところ、相談のあった企業のサイト以外に偽ECサイトの商品情報や価格情報が表示されており、リンクをクリックすると、検索結果の表示とは異なるURLの偽ECサイトにリダイレクトされた。

 リダイレクト先のURLは同社ウェブサイトからのレスポンスに含まれていたことから、同社のウェブサイトを踏み台にして偽ECサイトに誘導する状況が続いていると考えられた。IPAでは同社に対し、ウェブサイトで使用しているCMSや他のソフトウェアに既知の脆弱性がないかを、CMSへの不審なログインが発生していないかをログから確認するよう回答したという。

 こうした被害に遭わないための対策として、IPAは以下を挙げている。

・ウェブサイトで使用しているCMSやソフトウェアに既知の脆弱性がないかを定期的に確認して更新を行う。
・ウェブサイトに不審なファイルが設置されていないかを定期的に確認する。
・ウェブサイトへのログイン履歴に不審なものがないかを定期的に確認する。
・ウェブサイトの構築を外部に委託する場合、上記の定期点検を自社と委託先のどちらで行うかの検討をする。
・CMSの管理者パスワードを「長く」「複雑」なものにする、加えて多要素認証の導入を検討する。
・脆弱性を悪用した攻撃のリスクを下げるために、WAF(Web Application Firewall)の導入を検討する。

《吉澤 亨史( Kouji Yoshizawa )》

編集部おすすめの記事

特集

調査・レポート・白書・ガイドライン アクセスランキング

  1. セキュリティ燃え尽き症候群 5 大原因 ~ ソフォス調査

    セキュリティ燃え尽き症候群 5 大原因 ~ ソフォス調査

  2. JC3、捜査員向けのランサムウェア捜査ハンドブックを出版

    JC3、捜査員向けのランサムウェア捜査ハンドブックを出版

  3. Proofpoint Blog 33回「【DMARC導入率グローバル調査 2023】日本はようやく60%が対応に着手するも実効性ではいまだ最下位」

    Proofpoint Blog 33回「【DMARC導入率グローバル調査 2023】日本はようやく60%が対応に着手するも実効性ではいまだ最下位」

  4. 「UTM 理解していない」半数

  5. 売上規模別に見た 全 IT 投資中のセキュリティ予算比率 ~ 東証上場企業

  6. 「セキュリティ技術者の“思考”を覗く」~ SHIFT SECURITY、17種類のサイバー攻撃の解説と対策資料公開

  7. サイバーミステリー作家 一田和樹とサイバーセキュリティの十年(1)2010 - 2011「檻の中の少女」

  8. 「情報セキュリティの敗北史」はサイバーセキュリティの歴史と概念が学べる教科書だった(一田和樹 サイバーブックレーダー)

  9. フィッシングサイトのドメイン「top」が最多、デジタルアーツ調査

  10. 標的型メール攻撃を7段階に分類、システム設計に生かせるガイド(IPA)

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×