フィッシング対策協議会は5月27日、「フィッシング対策ガイドライン」の今年度改訂版を公開した。サービス事業者向け、および利用者向けそれぞれの対策について、新しい傾向や技術を反映した改訂版となっている。
金融機関やクレジットカード会社、ISPなどサービス事業者向けには、利用者をフィッシング詐欺被害から守るための対策として、「被害発生を抑制するための対策」、「被害発生を迅速に検知するための対策」、「被害が発生してしまった際の対策」の3つに分けて詳説している。
利用者向けの対策としては、同協議会が日頃より提唱している「被害にあわないための5ヶ条」を追記し、このうち特に重要な3項目について詳しい説明をくわえている。
■利用者向け対策--被害にあわないための5ヶ条
(1) パソコンやモバイル端末は、安全に保つ。
(2) 不審なメールに注意する。
(3) 電子メールにあるリンクはクリックしない。
(4) 不審なメールやサイトは報告する。
(5) 銀行やクレジットカード会社の連絡先リストを作る。
上記5ヶ条のうち特に重要なものは(1)~(3)だが、手口の巧妙化や次々に現れる新たな脅威などにより、そう簡単に遵守できるものではない。同協議会はその難しさを踏まえたうえで、3項目を守るための具体策について一定の方針を示している。
対策について、◎=実施すべきもの、○=実施を推奨するもの、△=必要に応じて実施すべきものという優先度が設定されている。上記の(1)については、「◎最新のソフトを利用する」「◎セキュリティ対策ソフトウエアの機能を理解し適切に用いる」「○PC の利用には標準ユーザアカウントを利用し、ユーザアカウント制御機能を活用する」「○URL フィルタリングを活用する」の4点が挙げられている。
(2)については、「◎個人情報の入力を求めるメールを信用しない」「◎メールに記載される差出人名称は信用しない」「◎怪しいメールの判断基準を知る」「◎安全なメールサーバを活用したり、類似性評価によるフィッシングメール判別機能を活用する」「◎リンクにアクセスする前に正規メールかどうか確認する」を挙げ、怪しいメールの判断基準やフィッシングメール判別機能について詳しく解説している。
(3)については、「◎正しい URL を確認する」「◎電子メール本文中のリンクには原則としてアクセスしない」「◎錠前マークを確認する」「○サービス事業者からの通知メール形式をTEXT 形式に設定する」を挙げている。とくに、メール本文中のリンクについては、クリックする場合の条件や、偽装リンクを見破る方法などについて詳説している。
■アカウント情報の管理
協議会はさらに、サービス事業者のアカウント情報の管理について、「◎アカウントID/パスワードはサービス事業者別に設定する」「◎アカウント管理ソフトウエアを導入する」「◎全てのアカウントについて緊急連絡先を把握しておく」ことを推奨。たとえば、サービスの利用者登録時に送られてくる「登録完了通知」メールには利用者窓口の連絡先が記載されていることが多いが、これを整理しておくと緊急時連絡に役立つとしている。
推奨される対策のすべてをすぐに実行することは難しいが、週末などを利用してガイドラインを読み込み、少しずつ安全対策を整えていきたいものだ。
(2016/06/10 ネットセキュリティニュース)
【関連URL:フィッシング対策協議会】
・資料公開: フィッシング対策ガイドラインの改訂について
https://www.antiphishing.jp/report/guideline/antiphishing_guideline2016.html
・フィッシング対策ガイドライン2016 年度版[PDF]
https://www.antiphishing.jp/report/pdf/antiphishing_guide.pdf