どうすれば“なりすましメール”による被害を防げるのか?
フィッシング対策については、まず同協議会では「フィッシング対策ガイドライン」を公開しており、毎年改訂している。前半に対策の要件、後半に対策と実施方法を記載するなど理解しやすい内容となっている。特に重要な対策については「重要5項目」としてまとめている。
「フィッシング対策ガイドライン」の重要5項目
- 利用者に送信するメールでは送信者を確認できるような送信ドメイン認証技術等を利用すること
- 利用者に送信するSMSにおいてはなりすましが起きにくいサービス(国内で直接接続される送信サービス)を利用し、発信者番号を利用者に告知すること
- 複数要素認証を要求すること
- ドメイン名は自己ブランドと認識して管理し、利用者に周知すること
- フィッシング詐欺について利用者に注意喚起すること
送信ドメイン認証によるなりすまし送信メール対策
SPF、DKIM、DMARCといった送信ドメイン認証は、正規ドメインの差出人メールアドレスで詐称したなりすまし送信メールに有効な対策であり、特にDMARCは最近Googleをはじめとするガイドラインで注目を集めている。
フィッシング対策協議会「最近のフィッシング報告の動向」より引用
[クリックすると拡大します]
DMARCには、SPFやDKIMをパスしなかったメールをそのまま配信する「None」、隔離する「Quarantine」、破棄する「Reject」の3種類のポリシーが用意されている。犯罪者はNone、あるいはそれ以外のポリシーでもメールを素通ししてしまうメールサービスを悪用するようになっている。ポリシーをRejectに設定して正しい処理をすることが大事だと吉岡氏は言う。
また、検証結果を利用者に通知・表示できていないため、ポリシーがNoneやQuarantineであってもそのメールを利用者が確認できないという問題もあると指摘した。受信側がポリシーを設定した場合、その認証結果の表示を利用者に提示することが重要とした。正規のものと判定されたメールをBIMIやブランドアイコン表示することで正規のメールであることを利用者に示すこともできる。何よりも利用者が判断するための情報を提供することが大事であるとした。
フィッシング対策協議会「最近のフィッシング報告の動向」より引用
[クリックすると拡大します]
日本政府においても、6月18日の犯罪対策閣僚会議で送信ドメイン認証技術、DMARC等への対応促進が盛り込まれた。具体的には、利用者にフィッシングメールが届かない環境を整備するため、インターネットサービスプロバイダ等のメール受信側事業者や、金融機関、EC事業者、物流事業者、行政機関等のメール送信側事業者等に対して送信ドメイン認証技術、DMARC等の計画的な導入を検討するよう働きかけを行うというものだ。
利用者へのアドバイス
吉岡氏は、利用者向けのアドバイスとして以下を示した。
- 急かされるような文面でも慌てない。メール、SMSのリンクからはアクセスしない
- お気に入り(ブックマーク)、正規アプリを利用して、正規サイトにアクセスする
- カード情報、口座情報、暗証番号、認証コード等の入力を求められたら一度立ち止まる
- 怪しいと思ったら「件名」「本文」内の文字列で検索したり、サポート窓口へ確認
- セキュリティ機能を活用する(迷惑メールフィルター、多要素認証の併用)
- メールアドレス、同一パスワード変更 (漏えい情報の再利用防止、配信リスト無効化)
- 迷惑メールフィルターが強力、送信ドメイン認証技術に対応しているメールサービスを選択する
今後は、送信ドメイン認証技術に対応しているメールサービスを選択することも重要になるとした。
