あなたの顧客を「フィッシング詐欺から守るため」にできること
年末商戦期は、消費者がオンラインで必死に買い物をする時期だ。受信トレイには「確実にお届けするには今すぐご注文を!」「まだ間に合う!」「直前ギフトに最適!」などのメッセージがあふれている。このような熱気に乗じて、悪意ある第三者はブランドになりすまし、顧客の年末商戦用の資金や機密情報をだまし取ろうと狙っている。 CISA(サイバーセキュリティ・社会基盤安全保障庁)やFBIなどの政府・法執行機関は、毎年、消費者に対して「うまい話には気をつけること」「アカウントを厳重に保護すること」「各種メディアで機密情報を安易に渡さないこと」などを呼びかけている。しかし、企業がこの時期にマーケティングメッセージの発信量を増やすほど、犯罪者側も攻勢を強める。さらに近年では、生成AIツールが発達し、ロゴや文面、ランディングページを正規ブランドと見分けがつかないほど精巧に模倣できるようになっている。その結果、もし消費者が巧みに仕組まれた偽メッセージに引っかかれば、ブランドへの信頼は大きく損なわれてしまう。 では、フィッシング、SMShing(SMSを悪用したフィッシング)、Vshing(音声通話を悪用したフィッシング)、Qshing(QRコードを悪用した詐欺)といった「人的要素」を狙う攻撃から、顧客と自身のブランドの評判をどう守ればよいのか。 ここでは、セキュリティ対策を再検討し、強化する上で注目すべき2つのアクションを紹介する。年末商戦期に限らず、今後も継続的に実践すべき事項である。 ■すべての送信ドメインにDMARCを強制適用する DMARC(Domain-based Message Authentication, Reporting and Conformance)は、DKIM(Domain Keys Identified Mail)やSPF(Sender Policy Framework)と組み合わせて用いることで、攻撃者や詐欺師がメールドメインを偽装して悪意ある詐欺メールを送信することを防ぐ。DMARCを正しく実装すれば、正規のメールマーケティングサービスプロバイダになりすまそうとする不正なユーザをも排除できる。 実施方法 セキュリティ担当者と連携してDMARCプロトコルを導入し、Brand Indicators for Message Identification(BIMI)テストを行うことが望ましい。これによりブランド保護、顧客の信頼強化、フィッシング対策の強化が可能になる。また、サービスプロバイダがすべてのドメインについてDMARC設定やステータスを定期的に監視しているか確認することも重要だ。