フィッシング対策の強化でクレジットカード会社に「DMARC」導入を要請 経産省/総務省/警察庁
掲載:2023年02月10日
サイバー速報
目次
経済産業省、警察庁および総務省は2月1日、クレジットカード会社などに対し、送信ドメイン認証技術「DMARC」の導入を進めるよう要請しました。フィッシング被害が増加していることを踏まえ、なりすましメールの対策として企業に対応を求めるものです。
フィッシング詐欺によりクレジットカード番号が詐取され、不正利用される被害が拡大しています。フィッシング詐欺はクレジットカード会社になりすましたメールを利用者に送信し、利用者が騙されて入力をすることで被害につながります。
DMARC (Domain-based Message Authentication, Reporting, and Conformance)は、メール送信元のドメインを認証する技術で、SPF(Sender Policy Framework、送信メールサーバーのIPアドレスを元に認証する技術)やDKIM(DomainKeys Identified Mail、送信メールサーバーで作成した電子署名を元に認証する技術)と組み合わせて使います。DMARCでは「正規ルートで送られていない」と判断されたメールを駆除するように設定することが可能です。しかし、一般的にDMARCの導入率は低く、令和4年版の情報通信白書によれば、「JPドメイン」での導入状況は、SPFが約67.5%であるのに対し、DMARCは約2.1%に留まっています(2021年12月時点)。
経済産業省、警察庁および総務省はクレジットカード会社に対して、クレジットカードの利用者向けに公開するすべてのドメイン名についてDMARCを導入することと、利用者側では「なりすましメールを受信拒否する」とするポリシーで運用することを求めました。
おすすめ記事
- 標的型メール攻撃
- サイバー攻撃に使われる「OSINT」とは
- 四重脅迫手口も登場し3年連続ランサムウェア被害が1位、情報セキュリティ10大脅威2023を発表 IPA
- 「メール訓練手引書一般公開版 v1.0」 を公表 日本シーサート協議会
- 自治体防災メールのなりすまし対策状況調査の結果を公表 JIPDEC・TwoFive
- 「インターネットの安全・安心ハンドブック」を改訂 NISC
- フィッシング対策ガイドラインを改定 フィッシング対策協議会
- チェックリストを収録、2024年版「フィッシング対策ガイドライン」を公開 フィッシング対策協議会
- SPI Ⅲの改定案「スマートフォン プライバシー セキュリティ イニシアティブ」などについて意見公募を実施 総務省