フィッシングサイトのテイクダウンを誰がやるか — 内製・代行・SaaS の現実的な選び方

フィッシング被害発見後 48 時間の playbook で扱った 7 ステップのうち、Step 5(registrar への abuse 通報)と Step 6(ブラウザブロックリストへの提出)の運用は、実際にやってみると意外に重い。1 件あたり数時間、しかも頻繁に発生する企業では月に何度も繰り返すことになる。ここで企業は次の問いに直面する。
この作業を社内に持つか、外に出すか、ツールで自動化するか。
日本市場で実装手段は事実上 3 つ。社内で運用する内製、SIer や TOPPAN 系が提供するテイクダウン代行サービス、そして近年増えてきたフィッシング対策 SaaS だ。それぞれが向く企業層は明確に分かれていて、規模・被害頻度・予算・コンプライアンス要件で答えが変わる。本稿では実務 4 軸(年間コスト・初動時間・監督官庁対応・運用負荷)でこの 3 択を比較し、規模別に妥当な選択を整理する。
比較の枠組み
| 軸 | 内製 | 代行サービス | SaaS |
|---|---|---|---|
| 立ち上げ期間 | 1〜2 週間 | 契約まで 1〜3 か月 | 当日中 |
| 1 件あたり工数(依頼側) | 2〜6 時間 | 15 分(連絡のみ) | 5 分(管理画面操作) |
| 年間コスト目安 | 人件費 100〜300 万円 | 200〜800 万円 | 12〜120 万円 |
| 初動応答 SLA | 保証なし | 24〜72 時間(契約による) | 24 時間以内の自動通知 |
| 必要スキル | abuse 通報・WHOIS・blocklist 運用 | 不要 | 初期設定時の SaaS 操作のみ |
| 対応カバー範囲 | 担当者の練度に依存 | 提携 registrar に依存 | プラットフォーム固定 |
| 監督官庁向け正当性 | 弱い | 強い(第三者監視として明示可能) | 業界依存 |
数字はあくまで一般的な水準で、実際は被害頻度と対象 TLD の構成で大きく動く。月数件の継続発生を前提にした場合の目安と考えてほしい。
内製で運用する
被害件数が年に 1〜2 件程度に収まり、社内に abuse 通報の実務経験者が一人でも在籍している企業なら、内製は有力な選択肢になる。直接コストは人件費だけ、社内にナレッジが蓄積する、外部に証拠を渡さなくて済む——この 3 点はそのまま強みになる。問題は、想定していなかった運用上の落差が出やすいことだ。
最も多い失敗は通報フォーマットの誤り。担当者が abuse 通報の書き方に不慣れだと、件名「お問い合わせ」、本文「弊社ブランドを騙るサイトがあります。対応お願いします」のような形で送ってしまう。この種の通報は大手 registrar の abuse キューでまず後回しになる。通る通報には件名での分類明示(Phishing Abuse Report)、再検証可能な証拠(スクリーンショット URL・pHash・WHOIS ダンプ)、abuse 通報であることの明示(DMCA でも UDRP でもないことを明確化)、被害ブランドからの授権、固定 reporter アドレスからの送信といった要件があり、registrar abuse 通報の書き方 で詳しく整理した。
ブラウザブロックリストへの提出を並行で走らせるかどうかも見落とされやすい。registrar がドメインを停止するまでに数日かかる間にも、ユーザーはフィッシングページに着地し続ける。Google Safe Browsing・Microsoft SmartScreen・Cloudflare Phishing URL Scanner の 3 系統に同時に提出することで、registrar 待ちの空白期間にユーザーをブラウザ層で守れる。詳細は ブラウザブロックリスト通報の実務 にまとめた。
最後に、属人化リスクは中堅企業で最もよく見る失敗パターンだ。内製で半年運用がうまく回っていた企業が、担当者の異動でゼロから巻き直しになる。registrar 側がその通報者に対して蓄積した信頼は個人 email アドレスに紐付いており、引き継ぎでは戻らない。[email protected] のような部署アドレス、abuse 通報テンプレート(registrar 別)、証拠保全スクリプト、通報履歴の社内チケット管理——この 4 点が揃わないなら、外部委託や SaaS のほうが実質コストは下がる。
代行サービスを使う
TOPPAN デジタル、LAC サイバー救急センター、ACSiON、NRI SecureTechnologies、Broadband Security といった国内ベンダーが提供する形態。代行に向くのは、金融機関や保険、大手小売など監督官庁の指導下にある業種で、FISC ガイドラインや監査要件で第三者監視を明示する必要がある企業、または年間被害件数が数十件以上で専任担当を置くより外注したほうが TCO(総保有コスト)が下がる規模の企業だ。
メリットは依頼側の工数の小ささに尽きる。フィッシングサイトを見つけたら電話 1 本かメール転送で済み、契約書・印鑑・請求書払いといった日本の B2B 商習慣にも完全対応している。対応実績は定期レポートとして提供されるため、内部監査や規制当局への報告材料としても使える。「第三者監視契約あり」と監督官庁との対話で明示できる点も、コンプライアンス上の正当性として有効に働く。
一方、立ち上げが遅い。初回商談から NDA、SOW(作業範囲書)、試験運用、正式契約まで 4〜8 週間が普通で、その間に新しいフィッシングサイトは次々立ち上がる。事実上の空白期間は内製や SaaS で埋めるしかない。対応範囲が代行会社のリソースに依存する点も注意が要る。Namecheap や GoDaddy のような大手 registrar との関係を持っていても、NameSilo・Porkbun・Internet.bs といった小規模 registrar とのつながりがなければ、そこに登録されたドメインは代行会社も同じく abuse メールを書いて送るだけ。依頼側が直接送るのと所要時間にほとんど差が出ないこともある。
ブラウザブロックリストへの並行提出が契約に含まれているかも確認したい。Safe Browsing と SmartScreen への提出はオプション扱いか未提供のことが多く、依頼側でカバーする必要がある場合がある。料金体系も従量課金(1 件いくら)だと被害が増えた時に予算が読めなくなるため、固定月額か件数キャップ付きが望ましい。
代行を検討する際の確認事項は次のとおり:実績の業界比率(金融機関だけだと中堅企業の運用感覚と合わないことがある)、対応可能な registrar・hosting の一覧、ブラウザブロックリスト並行提出の取り扱い、SLA の初動応答時間と完了時間の定義、月次レポートのフォーマット(監査素材として使える形か)、途中解約の可否(多くは年契約拘束あり)。
SaaS で運用する
OpenBait・Memcyco(金融機関向け)・Axur や ZeroFox(DRP 領域の海外大手)が代表例。SaaS が向くのは、従業員 300〜2,000 人規模の中堅から上場手前までの企業で、被害頻度が年数件から月数件、情シス・広報・事業部の誰でも触れる UI が必要、年間予算が 12〜120 万円程度(代行の 1/10〜1/3)で、契約と同日に運用を始めたい——という条件が揃った時だ。
最大の特徴は立ち上げの速さで、アカウント作成・ドメイン登録・監視開始までが 30 分前後で完結する。単価は代行と一桁違うことが多く、管理画面で常時可視化されるため経営会議用の資料も即出力できる。SIEM や Slack への API 連携もしやすく、ブラウザブロックリスト 3 系統への自動並行提出を備えるプラットフォームも増えてきた。
ただし、ツールである以上、限界は明確に存在する。registrar 側の担当者が固まった拒否(「これは DMCA 通報の対象ですね」のような誤分類)を出した場合のエスカレーション——UDRP 申請や ICANN Compliance への苦情提出など——は多くの SaaS の対象外で、代行サービスは法務部門を含めて引き取るのに対し、SaaS は基本的に「最後の責任は依頼側に残る」設計だ。FISC 準拠や監督官庁との対話で「第三者監視契約」と並べたい場面でも、SaaS は社内ツール扱いになるためコンプライアンス材料としては代行のほうが通しやすい場面がある。
日本企業で採用する場合の実務的な確認事項は他より細かい。海外製 SaaS の多くはクレジットカードの月次請求しか対応しないが、中堅企業の調達フローは年契約・銀行振込・請求書払い(円建て)が前提のことが多く、これに対応していない SaaS は実質採用できない。日本語 UI と日本語ドキュメントの完成度、日本語サポートの応答時間、ISMS や ISO 27001 認証(取引条件として要求されるケースが増加中)も同様に確認しておきたい。詳細は 反フィッシング予算を経営層に通す で扱った。
規模別の現実的な選択
| 企業規模 | 想定される被害頻度 | 推奨する組み合わせ |
|---|---|---|
| 従業員 100 人以下、EC など | 年 1〜2 件 | 内製。社内テンプレ整備と Safe Browsing 提出までは自前で十分 |
| 従業員 300〜2,000 人の中堅 | 月 1〜2 件 | SaaS で日常対応し、重大案件のみ外部弁護士へ個別委託 |
| 従業員 2,000 人超または金融系 | 月 5 件以上 | 代行 + SaaS の併用。代行を監督官庁対応に、SaaS を可視化とバックアップに |
| エンタープライズ・グローバル展開 | 月数十件 | 代行か専任内製チームを核に、Memcyco や Axur など海外専用ベンダーを併用 |
中堅以下のレンジでは、被害頻度が増えた段階で内製から SaaS に切り替える企業が多い。内製で半年〜1 年運用しナレッジが溜まったところで、属人化リスクと工数の重さが見えてきて移行する、という順序が実態に近い。逆に金融系では契約済みの代行サービスがあっても SaaS を可視化レイヤとして併用するパターンが増えており、ここは「代わり」ではなく「重ね」になる。
OpenBait の位置付け
OpenBait は SaaS 型の中でも中堅企業向けに設計したプラットフォームで、月額 $79〜$999+ の公開価格、Business 以上で年契約・銀行振込・請求書払い対応、日本語 UI とドキュメント、registrar abuse 通報 と ブラウザブロックリスト 3 系統 への自動並行提出、Canary token と JavaScript SDK によるユーザー側保護まで一通りカバーしている。Memcyco に近い技術領域を中堅価格帯で提供するという位置取りだ。
自社ドメインに対して 無料枠 で試せるので、内製運用にツールを足すか、代行を SaaS に置き換えるかを判断したい段階でまず触ってもらえればと思う。
関連記事
関連記事
フィッシング対策の実装ガイド — 検知・テイクダウン・顧客防御を一つの運用に束ねる
フィッシング攻撃を受け続けている企業向けに、CT ログ監視・タイポスクワッティング検知・registrar abuse 通報・ブラウザブロックリスト・JavaScript SDK による顧客側保護を一連の運用フローとして組む方法。中堅企業 300〜2,000 人規模を念頭に、それぞれの工程で何を自動化するかを整理する。
`.cn` フィッシングサイトを Tencent 経由で数時間で停止 — Google には 3 日反応されなかった件
顧客対応で実際に起きた事例。同じフィッシング URL を同じタイミングで Google Safe Browsing と Tencent abuse 通報の両方に出した結果。Tencent 側は 24 時間以内に停止、Google 側は 3 日経っても無反応。中国系インフラを跨ぐ可能性のあるブランドを守っている人が、テイクダウンスタックを設計し直すべき理由を整理する。
フィッシング被害に遭ったら — 48 時間以内にやるべき 7 ステップ
自社ブランドがフィッシングに悪用されたと判明した直後の 48 時間で何をすべきか。被害範囲の特定、証拠保全、ユーザー警告、レジストラ通報、ブラウザブロックリスト並行提出、再発防止まで、順序化された playbook。