国内初、フィッシング対策ガイドライン策定

フィッシング対策協議会

 フィッシング対策協議会は、国内初のフィッシング対策指針となる「フィッシング対策ガイドライン」を策定。事業者、消費者双方の観点で要件をまとめた。

 サービス事業者の対策として、正規メールとフィッシングメール、正規サイトとフィッシングサイトの判別を提示。メール判別の技術面では、顧客へのメールに電子署名を付与、外部送信用メールサーバを送信ドメイン認証に対応。メール内容は定型的書式、テキスト形式を推奨した上で、顧客へのメール送信状況、内容の周知徹底を求めている。サイト判別については、サイトの安全性確保、正当性情報の提供に加え、重要情報入力ページの仕様、ドメイン内設置サーバの安全性確認の必要性を挙げている。

 被害を拡大させない対策として、顧客へのサービス提供時の管理を要求。資産移動時の限度額設定と顧客への通知、正規サイトにアクセス可能な端末制限、携帯電話サービス利用は顧客が選択、機微情報の変更ページへ移動の際は、複数要素認証が必要とする点などを列挙した。ドメイン名については、顧客の認知サービス事業者名称から連想されるものを使用、悪用の可能性ある類似ドメイン保有、使用ドメイン名と用途の情報を顧客へ徹底する点などを指摘。

 組織的な対応体制整備では、フィッシング詐欺への対応に必要な機能を持つ組織編制、報告窓口設置、詐欺発生時の行動計画を事前策定することなどを提言。併せて、手口など最新情報収集、フィッシングサイト閉鎖体制の整備の必要性も挙げた。顧客への注意喚起徹底、被害時の顧客との通信手段確保も必要。

 消費者側の対策として、機微情報入力を求めるメール、記載される差出人名称への注意を求め、問題あるメールの判断基準を知ることが重要。メール本文中のリンクには、原則アクセスしないなどの注意も必要。PCの安全対策として、最新のセキュリティパッチ、マルウェア対策ソフトの運用、フィッシングメール判別機能の活用、ブラウザにフィッシングサイト判別機能の組み込み活用などを例示している。アカウント管理については、ID/パスワードをサービス事業者別に設定、管理ソフト導入、全アカウントの緊急連絡先把握の必要性を紹介。被害発生時の消費者相談、情報提供窓口も図示した。  

(セキュリティ産業新聞2008年9月25日号より)

戻る