概要
フィッシング対策協議会では、フィッシング詐欺の被害を防ぐためにWebサービス事業者に向けた対策をまとめたガイドラインを公開しています。
2020年度版では、最近の脅威動向を踏まえ対策要件を見直し、また、優先度の設定が見直されています。
また、ガイドラインの対策要件の中でも、ユーザがフィッシング被害を減らすために事業者が特に重点的に取り組むべきものを5つにまとめ公開しています。
https://www.antiphishing.jp/report/phishing_report_2020.pdf
関連記事:2019年度版
2020年度版と2019年度版の比較
ガイドラインで公開されている要件一覧について、2020年度版と2019年度版を比較してみました。
※赤字は変更箇所です。
2020年版 | 2019年版 |
---|---|
Web サイト運営者が考慮すべき要件一覧 | |
【要件1】◎:利用者に送信するメールには電子署名を付与すること | 【要件1】◎:利用者に送信するメールには電子署名を付与すること |
【要件2】◎:外部送信用メールサーバを送信ドメイン認証に対応させること | 【要件2】◎:外部送信用メールサーバを送信ドメイン認証に対応させること |
【要件3】◎:利用者へのメール送信では、制作・送信に関するガイドラインを策定し、これに則って行うこと | 【要件3】◎:利用者に送信するメールでは定型的な様式を用いること |
【要件4】〇:Web サイト運営者が利用者に送信するメールはテキスト形式とすること | 【要件4】◎:Web サイト運営者が利用者に送信するメールはテキスト形式とすること |
【要件5】◎:利用者に情報発信する手段および内容を周知すること | 【要件5】◎:利用者に情報発信する手段および内容を周知すること |
【要件6】◎:Web サイトの正当性に係る情報を十分に提供する画面とすること | 【要件8】◎:Web サイトの正当性に係る情報を十分に提供する画面とすること |
【要件7】◎:すべてのページにサーバ証明書を導入すること | 【要件9】 ◎:サーバ証明書を導入すること |
【要件8】◎:正規Web サイトのドメイン内設置サーバの安全性を確認すること | 【要件10】◎:正規Web サイトのドメイン内設置サーバの安全性を確認すること |
【要件9】○:認証システムが許容するポリシを利用者に示すこと | 【要件11】○:認証システムが許容するポリシを利用者に示すこと |
【要件10】○:色々なチャネルで利用者に対する脅威の状況を提供する | 【要件12】○:色々なチャネルで利用者に対する脅威の状況を提供する |
【要件11】◎:利用者に端末を安全に保つよう、注意を促すこと | 【要件14】◎:利用者に端末を安全に保つよう、注意を促すこと |
【要件12】◎:複数要素認証を要求すること | 【要件15】◎:資産の移動を実行する前に、複数要素認証を要求すること |
【要件13】◎:資産の移動に限度額を設定すること | 【要件16】◎:資産の移動に限度額を設定すること |
【要件14】◎:資産の移動時に利用者に通知を行うこと | 【要件17】◎:資産の移動時に利用者に通知を行うこと |
【要件15】○:利用者の通常とは異なるアクセスに対しては追加のセキュリティを要求すること | |
【要件16】○:登録情報を変更するページへの移動には再度認証を要求すること | 【要件19】○:登録情報を変更するページへの移動には再度認証を要求すること |
【要件17】○:重要情報の表示については制限を行う | 【要件20】○:重要情報の表示については制限を行う |
【要件18】○:認証情報は厳格に管理すること(アカウントは不必要に発行しない) | 【要件22】○:認証情報は厳格に管理すること(アカウントは不必要に発行しない) |
【要件19】◎:アクセス履歴の表示 | 【要件23】◎:アクセス履歴の表示 |
【要件20】◎:利用者の認知している Web サイト運営者名称から連想されるドメイン名とすること | 【要件26】◎:利用者の認知している Web サイト運営者名称から連想されるドメイン名とすること |
【要件21】◎:使用するドメイン名と用途の情報を利用者に周知すること | 【要件27】◎:使用するドメイン名と用途の情報を利用者に周知すること |
【要件22】◎:ドメイン名の登録、利用、廃止にあたっては、自社のブランドとして認識して管理すること | 【要件28】△:ドメイン名の登録、登録、利用、廃止にあたっては、ドメイン名を自己のブランドとして認識して管理すること |
【要件23】◎:フィッシング詐欺対応に必要な機能を備えた組織編制とすること | 【要件29】◎:フィッシング詐欺対応に必要な機能を備えた組織編制とすること |
【要件24】◎:フィッシング詐欺に関する報告窓口を設けること | 【要件30】◎:フィッシング詐欺に関する報告窓口を設けること |
【要件25】◎:フィッシング詐欺発生時の行動計画を策定すること | 【要件31】◎:フィッシング詐欺発生時の行動計画を策定すること |
【要件26】◎:フィッシング詐欺および対策に関わる最新の情報を収集すること | 【要件32】◎:フィッシング詐欺および対策に関わる最新の情報を収集すること |
【要件27】◎:フィッシングサイト閉鎖体制の整備をしておくこと | 【要件33】◎:フィッシングサイト閉鎖体制の整備をしておくこと |
【要件28】○:フィッシングサイトアクセスブロック体制の整備をしておくこと | 【要件34】○:フィッシングサイトアクセスブロック体制の整備をしておくこと |
【要件29】◎:利用者が実施すべきフィッシング詐欺対策啓発活動を行うこと | 【要件35】◎:利用者が実施すべきフィッシング詐欺対策啓発活動を行うこと |
【要件30】◎:フィッシング詐欺発生時の利用者との通信手段を整備しておくこと | 【要件36】◎:フィッシング詐欺発生時の利用者との通信手段を整備しておくこと |
【要件31】○:Web サイトに対する不審なアクセスを監視すること | 【要件37】○:Web サイトに対する不審なアクセスを監視すること |
【要件32】△:フィッシング詐欺検出サービスを活用すること | 【要件38】△:フィッシング詐欺検出サービスを活用すること |
【要件33】△:端末の安全性を確認すること | 【要件39】△:端末の安全性を確認すること |
【要件34】△:バウンスメールを監視すること | 【要件40】△:バウンスメールを監視すること |
【要件6】◎:Web サイトの安全性を確保すること | |
【要件7】◎:ユーザに提供するアプリケーションの安全性を確保すること | |
【要件13】△:認証画面には利用者個別のマークなどを表示できるようにする | |
【要件18】○:正規Web サイトにアクセス可能な端末を制限すること | |
【要件21】○:パスワードのブラウザへの保存については禁止する | |
【要件24】△:特別な認証方法を採用する場合には、その方式に特有の脆弱性対策を行うこ と | |
【要件25】○:正規サイトログイン時の認証には複数要素認証を利用すること | |
利用者が考慮すべき要件一覧 | |
【要件35】◎:ソフトウエアは信頼できるサイトからインストールする | 【要件41】◎:ソフトウエアは信頼できるサイトからインストールする |
【要件36】◎:最新のソフトウエアを利用する | 【要件42】◎:最新のソフトウエアを利用する |
【要件37】◎:セキュリティ対策ソフトウエアの機能を理解し適切に用いる | 【要件43】◎:セキュリティ対策ソフトウエアの機能を理解し適切に用いる |
【要件38】○:端末の利用には一般ユーザアカウントを利用する | 【要件44】○:端末の利用には一般ユーザアカウントを利用する |
【要件39】○:URLフィルタリングを活用すること | 【要件45】 ○:URLフィルタリングを活用すること |
【要件40】 ◎:個人情報の入力を求めるメールを信用しない | 【要件46】◎:個人情報の入力を求めるメールを信用しない |
【要件41】◎:メールに記載される差出人名称は信用しない | 【要件47】◎:メールに記載される差出人名称は信用しない |
【要件42】◎:怪しいメールの判断基準を知る | 【要件48】◎:怪しいメールの判断基準を知る |
【要件43】◎:安全なメールサーバを活用したり、類似性評価によるフィッシングメール判 別機能を活用すること | 【要件49】◎:安全なメールサーバを活用したり、類似性評価によるフィッシングメール判 別機能を活用すること |
【要件44】◎:リンクにアクセスする前に正規メールかどうか確認する | 【要件50】◎:リンクにアクセスする前に正規メールかどうか確認する |
【要件45】◎:正しいURLを確認する | 【要件51】◎:正しいURLを確認する |
【要件46】◎:電子メール本文中のリンクには原則としてアクセスしない | 【要件52】◎:電子メール本文中のリンクには原則としてアクセスしない |
【要件47】◎:正しいURLと錠前マークを確認する | 【要件53】◎:錠前マークを確認する |
【要件48】○:Web サイト運営者からの通知メール形式をテキスト形式に設定する | 【要件54】○:Web サイト運営者からの通知メール形式をテキスト形式に設定する |
【要件49】◎:アカウントID/パスワードは Web サイト別に設定する | 【要件55】◎:アカウントID/パスワードはWebサイト運営者別に設定すること |
【要件50】◎:全てのアカウントについて緊急連絡先を把握しておくこと | 【要件57】◎:全てのアカウントについて緊急連絡先を把握しておくこと |
【要件56】◎:アカウント管理ソフトウエアを導入する |