悪質サイトに間違われないためのWebキャンペーン：会社に潜む情報セキュリティの落とし穴（3/3 ページ）

[萩原栄幸，ITmedia]

企業と顧客がそれぞれ注意しよう

　これらの事例から、企業がWebサイトでキャンペーンやアンケートを実施する際に注意すべきポイントは、以下のようになると思われます。

1. 特別サイトを開設する行為そのものはキャンペーンを盛り上げるのには有効だが、SSL証明書やそのほかの方法でそのサイトが正当なサイトであることを簡潔に証明することが必要。そうしなければ、猜疑心の強い人々を説得するのが難しい
2. 大手企業では下請けや孫請けした会社が実作業を担当しているケースが多い。この場合は実作業する会社のセキュリティ強度がそのまま反映されかねないので、委託先の管理と監視が重要。特に顧客ファイルのデータベースや申し込みメールの管理は十分過ぎるぐらいにチェックし、大手企業並みの管理を実施する必要があるかを内部で検討する（実際に大手メーカーのホームページからアルバイトがデータをコピーした事例も発覚している）
3. Webの脆弱性対策も重要。IPAでは「安全なウェブサイトの作り方 改訂第3版」を公開しており、ここに記載されたチェックリストでの検査は、委託先も含めて最低限実施する
4. 可能であればWebサイトに対するペネトレーションテスト（不正侵入テスト）などを事前に行い、潜在的なリスクを認識もしくは改善しておく
5. 個人情報保護法やJ-SOX対応などによって、以前は問題にならなかったことも問題視されるリスクがある（昔の経験則を無批判に受け入れ、後で泣いている管理者も多い）。必ずチェックする習慣を身に付けよう
6. デザインは優れているが、「基本ができていない」と言われるサイトが多数存在する。特に顧客の立場から「運営責任はどこか？」という点が明確になるように住所や社名、連絡先（メールと電話、FAXが望ましい）を記載し、可能であれば担当者まで公開すべきです（「この会社はしっかりしているようだ」と思われる可能性が高くなる）

　また、顧客サイドで注意すべきことは次の通りです。懸賞サイトは「誘蛾灯」と同じで、その内容を吟味してから応募することを常とする。無批判で懸賞がすごいからと応募すると後で後悔することにもなりかねず、まずはそのサイトが本物であるかを見極めましょう。

「見極める方法」

• 本家本元のホームページで、そのサイトが本当にキャンペーン期間中のサイトかを確認する
• WHOISにおいて本社のドメイン配下かをチェックする（ただし他社やレンタル会社だからといって「偽物」とは限らない。心配なら本社に電話をして確認する）

1. 本物のキャンペーンサイトからでも情報漏えいは過去何回も起きています。本当に神経質な人はインターネットで絶対に応募すべきではありません
2. フィッシング詐欺サイトなど、不審さ感じたら所轄（警察などの）のサイバー対策室に連絡する
3. アンケートの内容に疑問を感じたら、まずは企業の本社に情報を伝達する本物のサイトなら善処が期待できるが、無視されるのであれば消費者センターなどに相談する方法もあります。特に機微情報の部分においては絶対に記載しない方がいいでしょう

　悪質サイトの被害者にならないように企業と顧客はそれぞれ注意し、健全にインターネットを利用できる仕組みをお互いが築いていく必要をあるでしょう。ぜひ盲目的な利用は避けて、注意しつつもインターネットならではの「便利さ」や「速さ」といったメリットを享受できるようにしていただきたいと思います。

過去のセキュリティニュース一覧はこちら

萩原栄幸

株式会社ピーシーキッド上席研究員、一般社団法人「情報セキュリティ相談センター」事務局長、コンピュータソフトウェア著作権協会技術顧問、日本セキュリティ・マネジメント学会理事、ネット情報セキュリティ研究会技術調査部長、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格した実績も持つ。情報セキュリティに関する講演や執筆を精力的にこなし、情報セキュリティに悩む個人や企業からの相談を受ける「情報セキュリティ110番」を運営。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。

過去の連載記事一覧はこちらから