家studyをつづって

IT技術やセキュリティで勉強したことをつづっています。

「フィッシング対策ガイドライン」の概要

フィッシング対策ガイドライン 2019年度版
発行機関:フィッシング対策協議会
発行年月日:2019年5月

https://www.antiphishing.jp/report/pdf/antiphishing_guide.pdf

 

概要

フィッシング対策協議会では、Webサイトの運営者及び利用者に対して、それぞれの観点でフィッシング被害にあわないための対策をまとめ、「フィッシング対策ガイドライン」として公開しています。

 

フィッシングのイメージと対策するポイント

f:id:iestudy:20190717212256p:plain

フィッシングの攻撃概要

 

Webサイト運営者が考慮すべき要件一覧

利用者が正規メールとフィッシングメールを判別可能とする対策
要件 実施の必要性 概要
要件1 利用者に送信するメールには電子署名を付与すること
要件2 外部送信用メールサーバを送信ドメイン認証に対応させること
要件3 利用者に送信するメールでは定型的な様式を用いること
要件4 Web サイト運営者が利用者に送信するメールはテキスト形式とすること
要件5 利用者に情報発信する手段および内容を周知すること
利用者が正規サイトを判別可能とする対策
要件6 Web サイトの安全性を確保すること
要件7 ユーザに提供するアプリケーションの安全性を確保すること
要件8 Web サイトの正当性に係る情報を十分に提供する画面とすること
要件9 サーバ証明書を導入すること
要件10 正規Webサイトのドメイン内設置サーバの安全性を確認すること
要件11 認証システムが許容するポリシを利用者に示すこと
要件12 色々なチャネルで利用者に対する脅威の状況を提供する
要件13 認証画面には利用者個別のマークなどを表示できるようにする
フィッシング詐欺被害を拡大させないための対策
要件14 利用者に端末を安全に保つよう、注意を促すこと
要件15 資産の移動を実行する前に、複数要素認証を要求すること
要件16 資産の移動に限度額を設定すること
要件17 資産の移動時に利用者に通知を行うこと
要件18 正規Webサイトにアクセス可能な端末を制限すること
要件19 登録情報を変更するページへの移動には再度認証を要求すること
要件20 重要情報の表示については制限を行う
要件21 パスワードのブラウザへの保存については禁止する
要件22 認証情報は厳格に管理すること(アカウントは不必要に発行しない)
要件23 アクセス履歴の表示
要件24 特別な認証方法を採用する場合には、その方式に特有の脆弱性対策を行うこと
要件25 正規サイトログイン時の認証には複数要素認証を利用すること
ドメイン名に関する配慮事項
要件26 利用者の認知している Web サイト運営者名称から連想されるドメイン名とすること
要件27 使用するドメイン名と用途の情報を利用者に周知すること
要件28 ドメイン名の登録、登録、利用、廃止にあたっては、ドメイン名を自己のブランドとして認識して管理すること
組織的な対応体制の整備
要件29 フィッシング詐欺対応に必要な機能を備えた組織編制とすること
要件30 フィッシング詐欺に関する報告窓口を設けること
要件31 フィッシング詐欺発生時の行動計画を策定すること
要件32 フィッシング詐欺および対策に関わる最新の情報を収集すること
要件33 フィッシングサイト閉鎖体制の整備をしておくこと
要件34 フィッシングサイトアクセスブロック体制の整備をしておくこと
利用者への啓発活動
要件35 利用者が実施すべきフィッシング詐欺対策啓発活動を行うこと
要件36 フィッシング詐欺発生時の利用者との通信手段を整備しておくこと
フィッシング詐欺被害の発生を迅速に検知するための対策
要件37 Webサイトに対する不審なアクセスを監視すること
要件38 フィッシング詐欺検出サービスを活用すること
要件39 端末の安全性を確認すること
要件40 バウンスメールを監視すること

  

利用者が考慮すべき要件一覧

パソコンやモバイル端末は、安全に保つ
要件41 ソフトウエアは信頼できるサイトからインストールする
要件42 最新のソフトウエアを利用する
要件43 セキュリティ対策ソフトウエアの機能を理解し適切に用いる
要件44 端末の利用には一般ユーザアカウントを利用する
要件45 URLフィルタリングを活用すること
不審なメールに注意する
要件46 個人情報の入力を求めるメールを信用しない
要件47 メールに記載される差出人名称は信用しない
要件48 怪しいメールの判断基準を知る
要件49 安全なメールサーバを活用したり、類似性評価によるフィッシングメール判別機能を活用すること
要件50 リンクにアクセスする前に正規メールかどうか確認する
電子メールにあるリンクはクリックしないようにする
要件51 正しいURLを確認する
要件52 電子メール本文中のリンクには原則としてアクセスしない
要件53 錠前マークを確認する
要件54 Webサイト運営者からの通知メール形式をテキスト形式に設定する
アカウント情報の管理
要件55 アカウントID/パスワードはWebサイト運営者別に設定すること
要件56 アカウント管理ソフトウエアを導入する
要件57 全てのアカウントについて緊急連絡先を把握しておくこと

 

また、ガイドラインでは、フィッシング詐欺が発生してしまった後の対策についても触れられており、巻末の付録にはフィッシングサイトのテイクダウンをISPに要請する際の、参考となる文面が添付されています。

 
その他
個人的に知らなかった言葉を以下にまとめます。
「ファーミング(Pharming)」

 

フィッシング詐欺と同様に個人情報の詐取を行う詐欺行為である。犯罪者のもとへ誘導する手口にフィッシングとの違いがある。被害者へ何らかのアクションを要求することなく、犯罪者が用意したウェブサイトへ誘導するのがその特徴として挙げられる。犯罪者が「不正な転送の種(しかけ)」を撒き、被害者が正規のURL を正しく入力したとしても、否応なしに偽のウェブサイトへ転送させ、個人情報などを不正に詐取される(刈り取る)。この一連の様を「Farming(農場経営)」になぞらえ、ファーミングと呼ばれている。 

 

フィッシングの場合には、ユーザが注意をすることで防げる可能性がありますが、ファーミングの場合には、ユーザーがいくらドメインアドレスやURLアドレスに注意を払っても、(ドメイン乗っ取り等により)強制的にフィッシングサイトに転送されてしまいます。