フィッシングメール詐欺の手口と対策方法に関する解説書を公開、送信ドメイン認証の導入を推奨 フィッシング対策協議会
フィッシング詐欺に関して「なりすましメール」の手口と対策方法をとりまとめた解説書をフィッシング対策協議会の証明書普及促進ワーキンググループが2月20日、公開しました。なりすましメールの代表的な手口を事例とともに紹介した上で、事業者向けに対策方法として送信ドメイン認証などの導入を推奨しています。クレジットカード番号などの不正利用につながるフィッシング詐欺をめぐっては、経済産業省、警察庁および総務省が2023年2月、クレジットカード会社に対して送信ドメイン認証の導入などを要請しています。
公開された解説書は「フィッシングメール詐欺の手口と対策 解説ドキュメント」です。なりすましメールの代表的な手口をディスプレイネーム▽類似ドメイン▽踏み台―の3つに整理。事例はECサイトや官公庁、公共サービスを装ったものや、パスワードリセットを通知するもの、クレジットカード会社や銀行、配達会社を名乗るものなどパターンに分けて紹介しました。それぞれ実際の事例(メール文面例)を掲載しています。
利用者にフィッシング詐欺被害に遭わないよう、正しい知識を身につけることを促すとともに、事業者向けにはメールのセキュリティを向上させるための技術を示しました。具体的には、S/MIME(Secure / Multipurpose Internet Mail Extensions)▽SPF(Sender Policy Framework)▽DKIM(Domain Keys Identified Mail)▽DMARC(Domain-based Message Authentication, Reporting & Conformance)▽BIMI(Brand Indicators for Message Identification)―の5つです。
例えば、DMARCは送信ドメイン認証技術の一つであり、SPF、DKIM を利用したメールのドメイン認証を補強します。BIMIは、正規メールにはブランドアイコンを表示でき、受信者が正規メールであると確認できます。
