• セキュリティ情報
  • 2020.06.09

「フィッシングレポート 2020」被害を減らすために重要な5つの項目

フィッシング対策協議会は6月2日、フィッシングの被害状況、フィッシングの攻撃技術・手法などをとりまとめた「フィッシングレポート 2020」を公開しました。

フィッシング対策ガイドライン重要5項目

フィッシング対策協議会はフィッシングレポートの他に「フィッシング対策ガイドライン」を公開しています。
レポートではガイドライン50項目の内ユーザがフィッシング被害に遭うリスクを減らすために事業者が特に重点的に取り組むべき5つの項目について解説しています。

・利用者に送信するメールには「なりすましメール対策」を施すこと
・複数要素認証を要求すること
・ドメインは自己ブランドと認識して管理し、利用者に周知すること
・すべてのページにサーバ証明書を導入すること
・フィッシング詐欺対応に必要な組織編制とすること

フィッシングの動向

フィッシング対策協議会で受領した2019年1月から12月までのフィッシング報告件数は55,787件で、2018年と比較して約2.8倍となっています。
報告の中で最も多くの割合を占めたのはクレジットカード情報の詐取を目的としたフィッシングですが、国内の銀行をかたり不正送金を狙うもの、携帯電話の「キャリア決済」の不正利用を狙うものなど、多様なフィッシング報告が確認されています。

また、フィッシングサイトへの誘導にSMSを使う「スミッシング」の報告が増え、スマートフォン利用者が明確なターゲットとなっている状況が鮮明になりました。SMSの仕様上、通信キャリアからのメッセージと同じスレッド上に不正なサイトに誘導するメッセージも表示されてしまったため、多くの人が通信キャリアからの通知と信じてしまい被害の拡大につながりました。

フィッシングの対策

フィッシングの対策として「リスクベース認証」「FIDOを使用した生体認証」が挙げられています。

リスクベース認証は正しいパスワードで認証が行われた場合でもIPアドレスやブラウザ情報が普段と違っていたときに追加の認証(秘密の質問等)を行う認証です。普段の利用では追加の認証が行われない為、利用者の利便性が損なわれない利点があります。

FIDOはFast IDentity Online(素早いオンライン認証)の略でパスワードに代わる認証として期待されています。生体認証を利用する為、情報漏洩によるリスクが少ない点が特徴です。

まとめ

レポートに「現状では、この5項目すべての対策を提供しているサービス事業者は、かなりの少数だと思われる。」とあるように、事業者は重要5項目を満たすようにサービスを見直すことが重要です。
利用者はWEBサイトを訪問する場合はブックマークやインストール済みの正規アプリなどから正規サイトにアクセスし、個人情報を入力する前に偽サイトではないか今一度確認しましょう。
同時に、メールやメッセージを受け取ったときに安易にリンクをクリックしたり、添付ファイルを開いたりしないように注意することが大切です。

 

参考サイト:
https://www.antiphishing.jp/report/wg/phishing_report2020.html

※本記事は掲載時点の情報であり、最新の情報とは異なる場合があります。予めご了承ください。