フィッシング対策協議会「フィッシング対策ガイドライン」を改訂
2024.9.6
一般社団法人JPCERTコーディネーションセンターが事務局を務めるフィッシング(1)対策協議会は2024年6月4日、「フィッシング対策ガイドライン」の改訂を公表した。本ガイドラインは、フィッシングの被害を受ける可能性がある利用者やWebサイト運営者に対し、適切かつ効果的な対策を提供することを目的とし、Webサイト運営者が講じるべき、特に重要な対策である5つの「重要項目」と、より強い対策を講じるための22の「要件」などを定めている。
なお、同日付で「利用者向けフィッシング詐欺対策ガイドライン」の改訂や、昨今のフィッシングの被害状況、攻撃技術・手法などをとりまとめた「フィッシングレポート2024」も公表されている。
フィッシング被害が深刻な増加傾向にある中、Webサイト運営者は本ガイドラインを参考に、利用者の安全確保に向けた対策強化に取り組むことが求められる。同時に、フィッシング対策において利用者の負う役割は大きなものであるため、利用者自身もフィッシングの手法や危険性を学び、自らが被害を回避する努力が必要である。
① フィッシング対策ガイドライン重要項目
| 重要項目 | 概要 |
|---|---|
| 1 | 利用者に送信するメールでは送信者を確認できるような送信ドメイン認証技術等を利用すること |
| 2 | 利用者に送信するSMSにおいては、なりすましが起きにくいサービス(国内で直接接続される送信サービス)を利用し、発信者番号を利用者に告知すること |
| 3 | 複数要素認証を要求すること |
| 4 | ドメイン名は自己ブランドと認識して管理し、利用者に周知すること |
| 5 | フィッシングについて利用者に注意喚起すること |
② Webサイト運営者が考慮すべき要件一覧(「◎」は必須、「○」は推奨を示す)
| 要件 | 概要 | ||
|---|---|---|---|
| 【利用者が正規メールとフィッシングメールを判別可能とする対策】 | |||
| 1 | ◎ | 利用者が確認できるように利用環境と分かりやすい説明に配慮した上で、どのように確認すればいいのかを分かりやすく端的に説明すること | |
| 2 | ◎ | 外部送信用メールサーバーを送信ドメイン認証に対応させること | |
| 3 | ◎ | 利用者へのメール送信では、制作・送信に関するガイドラインを策定し、これに則って行うこと | |
| 4 | ◎ | 利用者に送信するSMSには国内直接接続の配信、または、RCS準拠サービスを利用すること | |
| 【フィッシング被害を拡大させないための対策】 | |||
| 5 | ◎ | 利用者が安全にサービスを利用する環境を整えるように促すこと | |
| 6 | ◎ | 複数要素認証を要求すること | |
| 7 | ◎ | 資産の移動に限度額を設定し、変更・移動時は通知を行うこと | |
| 8 | ◯ | 利用者の通常とは異なるアクセスや登録情報の変更に対しては追加のセキュリティを要求すること | |
| 9 | ◯ | 重要情報の表示については制限を行う | |
| 10 | ◎ | 不正利用も含めたアクセス履歴の可視化 | |
| 【ドメイン名に関する配慮事項】 | |||
| 11 | ◎ | ドメイン名を自社のブランド戦略の一貫として考えること | |
| 12 | ◎ | 使用するドメイン名と用途の情報を利用者に周知すること | |
| 13 | ◎ | ドメイン名の登録、利用、廃止にあたっては、自社のブランドとして認識して管理すること | |
| 【フィッシングへの備えと発生時の対応】 | |||
| 14 | ◎ | フィッシング対応に必要な機能を備えた組織編制とすること | |
| 15 | ◎ | フィッシング被害に関する対応窓口を明記すること | |
| 16 | ◎ | フィッシングの手法および対策に関わる最新の情報を収集すること | |
| 17 | ◎ | フィッシングサイトへの対応体制の整備をしておくこと | |
| 【利用者への啓発活動】 | |||
| 18 | ◎ | 利用者が実施すべきフィッシング対策啓発活動を行うこと | |
| 19 | ◎ | フィッシング発生時の利用者への連絡手段を整備しておくこと | |
| 【フィッシング被害の発生を迅速に検知するための対策】 | |||
| 20 | ◯ | Webサイトに対する不審なアクセスを監視すること | |
| 21 | ◎ | フィッシング検知に有効なサービスを活用すること | |
| 22 | ◎ | DMARCレポートやバウンスメールを監視すること | |
1)フィッシング(phishing)とは、実在する組織を騙って、ユーザーネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった情報を詐取すること。
【参考情報】
2024年6月4日付
フィッシング対策協議会「資料公開:フィッシング対策ガイドラインの改定について」:
https://www.antiphishing.jp/report/guideline/antiphishing_guideline2024.html
「ESGリスクトピックス」では国内・海外の最近の重要なトピックスをお届けしています
この記事は「ESGリスクトピックス2024年度 No.5」(2024年8月発行)の掲載内容から抜粋しています。
ESGリスクトピックス全文はこちらからご覧いただけます。
https://rm-navi.com/search/item/1818
