フィッシング対策の強化でクレジットカード会社に「DMARC」導入を要請 経産省/総務省/警察庁

掲載:2023年02月10日

サイバー速報

         
目次

経済産業省、警察庁および総務省は2月1日、クレジットカード会社などに対し、送信ドメイン認証技術「DMARC」の導入を進めるよう要請しました。フィッシング被害が増加していることを踏まえ、なりすましメールの対策として企業に対応を求めるものです。

フィッシング詐欺によりクレジットカード番号が詐取され、不正利用される被害が拡大しています。フィッシング詐欺はクレジットカード会社になりすましたメールを利用者に送信し、利用者が騙されて入力をすることで被害につながります。

DMARC (Domain-based Message Authentication, Reporting, and Conformance)は、メール送信元のドメインを認証する技術で、SPF(Sender Policy Framework、送信メールサーバーのIPアドレスを元に認証する技術)やDKIM(DomainKeys Identified Mail、送信メールサーバーで作成した電子署名を元に認証する技術)と組み合わせて使います。DMARCでは「正規ルートで送られていない」と判断されたメールを駆除するように設定することが可能です。しかし、一般的にDMARCの導入率は低く、令和4年版の情報通信白書によれば、「JPドメイン」での導入状況は、SPFが約67.5%であるのに対し、DMARCは約2.1%に留まっています(2021年12月時点)。

経済産業省、警察庁および総務省はクレジットカード会社に対して、クレジットカードの利用者向けに公開するすべてのドメイン名についてDMARCを導入することと、利用者側では「なりすましメールを受信拒否する」とするポリシーで運用することを求めました。