概要
こちらのプログラムのまとめと感想。
フィッシング詐欺は、
- 一般&フィッシング対策協議会からの報告
- JPCIRTに連絡
- 対策を検討&周知という流れで対策される。
主な被害内容
- 不正送金
- クレジットカード不正利用
- 番号盗用。
- これは、3-Dセキュアを利用する対策が重要である。
- メールに関しては
送信ドメイン認証迷惑メール対策をすること。
2023年は、半年ですでに去年分以上の件数を超えている。
傾向
なりすましのフィッシングメールが大量配信されているケースが多い。
大量に偽URLが生成されている。これらをブロックするために、IPアドレスでの制限が必要になるかも。
対応・対策と課題
フィッシング対策
- URLフィルタリング
- フィッシングサイトの閉鎖調整
- 各事業者がホスティング事業者にサイト閉鎖を要請する。
- 検知サービス
なりすまし対策
- 送信ドメイン認証
- SPF
- DKIM
- DMARC
- の3つがメインになっている。
DMARCは、SPFなど単体で使用した場合の機能を補う機能があり、優秀。
利点として、Gmailなどのメールが対応済みであり、モバイルユーザ向けの対応策が高い。
これを利用する事で、なりすましメールの50%~90%を、技術的に排除する事が可能。
正規メールの視認性向上
利用者にとって重要なのは、正しいメールかどうか。
Yahooメールで行われている取り組みでは、
送信ドメイン認証で失敗したメールには警告マークがでるようになっている。
他の取り組みとして、
正規メールの表示例をホームページに出す事で、利用者が判別しやすくなるように注意喚起している。
フィッシング対策
利用者側として。
- 大量にメールが届くのであれば。メールが漏れている可能性があるため、アドレスの変更を検討する。
- また、迷惑メールフィルターは、
電気通信事業法の通信の秘密を守るため、国内ISPのメールサービスではデフォルトで無効になっているため、有効にしておくこと。 - 正規メールの表示を知る事
まとめとして、DMARCを利用することを推奨する。
送信ドメイン認証技術の普及状況
ざっくりと。
送信者をドメイン名単位で認証する。
技術導入マニュアルは、迷惑メール対策推進協議会のWebサイトから入手できる。
SPFが81%ほど普及している。DMARCは7%ほど。
設定もDMARCの方が簡単なハズだが、なぜかSPFが普及しているのがわからないとのこと。
rejectの設定が増えており、すばらしいとのこと。
DMARC認証のために、最初の認証にDKIを用いるとよいかもしれないとのこと。
メッセージングセキュリティ技術。
メール配送時の暗号化として、TLSを用いているが、これは受信側が対応していなければTLS転送することができない事に注意が必要。
全体のまとめ&感想として
SPFなども効果的であるが、DMARCを検討することが大事である。
メールアドレスを変えるよりもよい方法はあるのか?
新しいメールアドレスを作り、登録させる。IDとして使用するメールアドレス・連絡として使用するアドレスの2通りあり場合、IDとしてしようする方を変えるとよいのではないか。