フィッシング対策ガイドライン 2019年度版
発行機関:フィッシング対策協議会
発行年月日:2019年5月
https://www.antiphishing.jp/report/pdf/antiphishing_guide.pdf
概要
フィッシング対策協議会では、Webサイトの運営者及び利用者に対して、それぞれの観点でフィッシング被害にあわないための対策をまとめ、「フィッシング対策ガイドライン」として公開しています。
フィッシングのイメージと対策するポイント
Webサイト運営者が考慮すべき要件一覧
利用者が正規メールとフィッシングメールを判別可能とする対策 | ||
要件 | 実施の必要性 | 概要 |
要件1 | ◎ | 利用者に送信するメールには電子署名を付与すること |
要件2 | ◎ | 外部送信用メールサーバを送信ドメイン認証に対応させること |
要件3 | ◎ | 利用者に送信するメールでは定型的な様式を用いること |
要件4 | ◎ | Web サイト運営者が利用者に送信するメールはテキスト形式とすること |
要件5 | ◎ | 利用者に情報発信する手段および内容を周知すること |
利用者が正規サイトを判別可能とする対策 | ||
要件6 | ◎ | Web サイトの安全性を確保すること |
要件7 | ◎ | ユーザに提供するアプリケーションの安全性を確保すること |
要件8 | ◎ | Web サイトの正当性に係る情報を十分に提供する画面とすること |
要件9 | ◎ | サーバ証明書を導入すること |
要件10 | ◎ | 正規Webサイトのドメイン内設置サーバの安全性を確認すること |
要件11 | ○ | 認証システムが許容するポリシを利用者に示すこと |
要件12 | ○ | 色々なチャネルで利用者に対する脅威の状況を提供する |
要件13 | △ | 認証画面には利用者個別のマークなどを表示できるようにする |
フィッシング詐欺被害を拡大させないための対策 | ||
要件14 | ◎ | 利用者に端末を安全に保つよう、注意を促すこと |
要件15 | ◎ | 資産の移動を実行する前に、複数要素認証を要求すること |
要件16 | ◎ | 資産の移動に限度額を設定すること |
要件17 | ◎ | 資産の移動時に利用者に通知を行うこと |
要件18 | ○ | 正規Webサイトにアクセス可能な端末を制限すること |
要件19 | ○ | 登録情報を変更するページへの移動には再度認証を要求すること |
要件20 | ○ | 重要情報の表示については制限を行う |
要件21 | ○ | パスワードのブラウザへの保存については禁止する |
要件22 | ○ | 認証情報は厳格に管理すること(アカウントは不必要に発行しない) |
要件23 | ◎ | アクセス履歴の表示 |
要件24 | △ | 特別な認証方法を採用する場合には、その方式に特有の脆弱性対策を行うこと |
要件25 | ○ | 正規サイトログイン時の認証には複数要素認証を利用すること |
ドメイン名に関する配慮事項 | ||
要件26 | ◎ | 利用者の認知している Web サイト運営者名称から連想されるドメイン名とすること |
要件27 | ◎ | 使用するドメイン名と用途の情報を利用者に周知すること |
要件28 | △ | ドメイン名の登録、登録、利用、廃止にあたっては、ドメイン名を自己のブランドとして認識して管理すること |
組織的な対応体制の整備 | ||
要件29 | ◎ | フィッシング詐欺対応に必要な機能を備えた組織編制とすること |
要件30 | ◎ | フィッシング詐欺に関する報告窓口を設けること |
要件31 | ◎ | フィッシング詐欺発生時の行動計画を策定すること |
要件32 | ◎ | フィッシング詐欺および対策に関わる最新の情報を収集すること |
要件33 | ◎ | フィッシングサイト閉鎖体制の整備をしておくこと |
要件34 | ○ | フィッシングサイトアクセスブロック体制の整備をしておくこと |
利用者への啓発活動 | ||
要件35 | ◎ | 利用者が実施すべきフィッシング詐欺対策啓発活動を行うこと |
要件36 | ◎ | フィッシング詐欺発生時の利用者との通信手段を整備しておくこと |
フィッシング詐欺被害の発生を迅速に検知するための対策 | ||
要件37 | ○ | Webサイトに対する不審なアクセスを監視すること |
要件38 | △ | フィッシング詐欺検出サービスを活用すること |
要件39 | △ | 端末の安全性を確認すること |
要件40 | △ | バウンスメールを監視すること |
利用者が考慮すべき要件一覧
パソコンやモバイル端末は、安全に保つ | ||
要件41 | ◎ | ソフトウエアは信頼できるサイトからインストールする |
要件42 | ◎ | 最新のソフトウエアを利用する |
要件43 | ◎ | セキュリティ対策ソフトウエアの機能を理解し適切に用いる |
要件44 | ○ | 端末の利用には一般ユーザアカウントを利用する |
要件45 | ○ | URLフィルタリングを活用すること |
不審なメールに注意する | ||
要件46 | ◎ | 個人情報の入力を求めるメールを信用しない |
要件47 | ◎ | メールに記載される差出人名称は信用しない |
要件48 | ◎ | 怪しいメールの判断基準を知る |
要件49 | ◎ | 安全なメールサーバを活用したり、類似性評価によるフィッシングメール判別機能を活用すること |
要件50 | ◎ | リンクにアクセスする前に正規メールかどうか確認する |
電子メールにあるリンクはクリックしないようにする | ||
要件51 | ◎ | 正しいURLを確認する |
要件52 | ◎ | 電子メール本文中のリンクには原則としてアクセスしない |
要件53 | ◎ | 錠前マークを確認する |
要件54 | ○ | Webサイト運営者からの通知メール形式をテキスト形式に設定する |
アカウント情報の管理 | ||
要件55 | ◎ | アカウントID/パスワードはWebサイト運営者別に設定すること |
要件56 | ◎ | アカウント管理ソフトウエアを導入する |
要件57 | ◎ | 全てのアカウントについて緊急連絡先を把握しておくこと |
また、ガイドラインでは、フィッシング詐欺が発生してしまった後の対策についても触れられており、巻末の付録にはフィッシングサイトのテイクダウンをISPに要請する際の、参考となる文面が添付されています。
その他
個人的に知らなかった言葉を以下にまとめます。
「ファーミング(Pharming)」
フィッシング詐欺と同様に個人情報の詐取を行う詐欺行為である。犯罪者のもとへ誘導する手口にフィッシングとの違いがある。被害者へ何らかのアクションを要求することなく、犯罪者が用意したウェブサイトへ誘導するのがその特徴として挙げられる。犯罪者が「不正な転送の種(しかけ)」を撒き、被害者が正規のURL を正しく入力したとしても、否応なしに偽のウェブサイトへ転送させ、個人情報などを不正に詐取される(刈り取る)。この一連の様を「Farming(農場経営)」になぞらえ、ファーミングと呼ばれている。
フィッシングの場合には、ユーザが注意をすることで防げる可能性がありますが、ファーミングの場合には、ユーザーがいくらドメインアドレスやURLアドレスに注意を払っても、(ドメイン乗っ取り等により)強制的にフィッシングサイトに転送されてしまいます。