フィッシングメール詐欺の手口と対策方法に関する解説書を公開、送信ドメイン認証の導入を推奨 フィッシング対策協議会
掲載:2024年03月08日
サイバー速報
目次
フィッシング詐欺に関して「なりすましメール」の手口と対策方法をとりまとめた解説書をフィッシング対策協議会の証明書普及促進ワーキンググループが2月20日、公開しました。なりすましメールの代表的な手口を事例とともに紹介した上で、事業者向けに対策方法として送信ドメイン認証などの導入を推奨しています。クレジットカード番号などの不正利用につながるフィッシング詐欺をめぐっては、経済産業省、警察庁および総務省が2023年2月、クレジットカード会社に対して送信ドメイン認証の導入などを要請しています。
公開された解説書は「フィッシングメール詐欺の手口と対策 解説ドキュメント」です。なりすましメールの代表的な手口をディスプレイネーム▽類似ドメイン▽踏み台―の3つに整理。事例はECサイトや官公庁、公共サービスを装ったものや、パスワードリセットを通知するもの、クレジットカード会社や銀行、配達会社を名乗るものなどパターンに分けて紹介しました。それぞれ実際の事例(メール文面例)を掲載しています。
利用者にフィッシング詐欺被害に遭わないよう、正しい知識を身につけることを促すとともに、事業者向けにはメールのセキュリティを向上させるための技術を示しました。具体的には、S/MIME(Secure / Multipurpose Internet Mail Extensions)▽SPF(Sender Policy Framework)▽DKIM(Domain Keys Identified Mail)▽DMARC(Domain-based Message Authentication, Reporting & Conformance)▽BIMI(Brand Indicators for Message Identification)―の5つです。
例えば、DMARCは送信ドメイン認証技術の一つであり、SPF、DKIM を利用したメールのドメイン認証を補強します。BIMIは、正規メールにはブランドアイコンを表示でき、受信者が正規メールであると確認できます。
おすすめ記事
- フィッシング攻撃
- アタックサーフェス
- ブルートフォースアタック
- 能動的サイバー防御
- ゼロトラスト・アーキテクチャ導入のための「NIST SP800-207」
- フィッシング対策の強化でクレジットカード会社に「DMARC」導入を要請 経産省/総務省/警察庁
- サイバーセキュリティ啓発、ビジネスメール詐欺に関する特設ページを公開 IPA
- クレジットカード・セキュリティガイドライン「4.0版」を公表 経産省
- 【速報】フィッシング対策ガイドラインを改定 フィッシング対策協議会
- 「メール訓練手引書一般公開版 v1.0」 を公表 日本シーサート協議会
- ランサムウェア被害件数は高止まり、2023年上半期の「サイバー空間をめぐる脅威の情勢等について」を公表 警察庁
- 攻撃対象領域管理(ASM、Attack Surface Management)の導入ガイダンスを公表 経産省
- 「企業IT動向調査報告書2024」(2023年度調査)の速報値を公表 JUAS
- 【速報】ネットバンク不正送金の急増で注意喚起 金融庁