｢なりすましサイト｣怒りの矛先は正規サイトに？SNSで経営層の好み把握しフィッシング？攻撃者の怪しい動きを｢いかに早く掴むか｣がカギ

システムに登録すると、それらの情報がインターネット上やダークウェブ上でどのように飛び交っているかを監視し、攻撃者側が攻撃シナリオを描くのと同じように、発見した情報を関連付けてユーザーに関係するリスクとしてまとめ上げて提示する。

「たとえばフィッシングが仕掛けられたとき、『そのURLはフィッシングサイトです』と警告するだけでなく、恒常的に行っている脅威に関するインテリジェンス調査で得た最新の情報とすり合わせ、『そのURLは、ランサムウェアグループのCL0Pが仕掛けたフィッシングです』というところまで提示できます。

こうすることで、企業はリスクの大きさを具体的に認識できますから、より必要な警戒と対策につながります。単にアラートを繰り返すだけでは、 “オオカミ少年”にもなりかねないので、リスクの内容や大きさまで提示することが肝だと思っています」

“なりすましサイト”を放置した場合に起こること

もし、あるブランドの“なりすましサイト”が立ち上がり、偽物の販売が一定期間行われていたとしよう。これを放置すると、正規品の販売機会や、そのブランドに関わる流通経路のビジネス機会が奪われる。さらに卯城氏によると、ユーザーが偽物の商品を購入してしまった場合、ユーザーの怒りの矛先は“なりすましサイト”の運営元ではなく、正規のブランドサイトに向く傾向もあるようだ。

“なりすましサイト”がフィッシングを行えば、ブランドは消費者からの信頼を喪失するなど、企業コンプライアンスにつながる可能性もある。また、こうした“なりすましサイト”は、わずかな時間で消えたり、新たに出現したりしている。フィッシング目的の単純なサイトであれば、攻撃者はAIを活用して1日単位で生成できるというのだ。

セキュリティ担当者が、自力で擬似ドメインを探そうとすると、数日〜1週間の時間を要することが多い。“なりすましサイト”が存在しないか探している間に、サイト自体が畳まれてしまうことも十分あり得る。

その意味で、卯城氏は「発見後、テイクダウンまでを実施」することの重要性を強調している。例えば同社のERMソリューションの場合、こうしたなりすましサイトが立ち上がると、検知すると同時に、ユーザーの要望に応じてその場でサイトを落としてしまうことで、被害を最小限にとどめている。実際、日本では特にバリューのあるブランドを保持する企業からのニーズが高いという。