フィッシング対策ガイドライン 2021年度版 フィッシング対策協議会2021年6月1日 を読んでみました。
概要
https://www.antiphishing.jp/news/techwg_openday2020_online_TOPPANFORMS.pdf
- フィッシング対策協議会 Council of Anti-Phishing Japan
- 目的: フィッシングに関する情報収集・提供、注意喚起等の活動を中心とした対策の促進
- 会長: 岡村久道 岡村久道 (@Lawcojp) | Twitter
- 運営委員
- トッパン・フォームズ / Japan Digital Degisn / ソースネクスト / リクルート / JPRS / セブン銀行 / カリウス / 日立システムズ / アルプスシステムインテグレーション / NTTコミュニケーションズ / トレンドマイクロ / bitFlyer / ACSiON / ラック
- 活動
- フィッシングに関する情報収集・提供
- フィッシングの動向分析
- 技術・制度的対応の検討
- 海外機関との連携: 米国APWG 等
- フィッシング対策協議会 Council of Anti-Phishing Japan | フィッシング対策協議会について | WG 活動
- メンバー: https://member.antiphishing.jp/about_ap/member.html
- コンテンツ
- フィッシング対策協議会 Council of Anti-Phishing Japan | マンガでわかるフィッシング詐欺対策 5 ヶ条
- ソフトウェアはアップデートをして最新の状態を保つ
- 不審なメールに注意しましょう
- メール内のリンクは見た目と実際のアドレスが異なります
- 不審メールや不審サイトは「フィッシング対策協議会 info@antiphoshing.jp」に報告して下さい
- 詐欺や窃盗に遭ったときに備えて、連絡先をリストアップしておく
- サービス事業者(銀行やクレジットカード会社など)
- 警察
- フィッシング対策協議会
- フィッシング対策協議会 Council of Anti-Phishing Japan | マンガでわかるフィッシング詐欺対策 5 ヶ条
利用者向けフィッシング詐欺対策ガイドライン2021年度版
先ずは「利用者向け」要するにコンシューマ向けのガイドラインを読んでみました。
- 目次
- フィッシングとは
- フィッシング対策3つの心得
- いますぐできるフィッシング対策
- フィッシング対策協議会と本ガイドラインの位置づけ
- 付録
- フィッシング事例
- パスワードの考え方(「フィッシングレポート2015」より)
1. フィッシングとは
- 2012年3月に不正アクセス行為の禁止等に関する法律が改正され、2012年5月に法改正が施行されたことにより、フィッシング詐欺行為が処罰対象となりました。
- 不正アクセス罪
- 不正取得罪
- 不正助長罪
- 不正保管罪
- 不正入力要求罪 << 主にコレに当たる
- 類型: サイト構築型
- 類型: メール送信型
フィッシングとは Phishing であり魚釣りではありません。
- フィッシング(Phishing) ≠ 魚釣り(Fishing)
- 様々なサービスの利用者(消費者)のパスワードを詐取(だまし取る)することを狙いとしています。
2. フィッシング対策3つの心得
- STOP 立ち止まって理解する
- THINK 何が起こるか考える
- CONNECT 安心してインターネットを楽しむ
3. いますぐできるフィッシング対策
- 正しいURLにアクセスする
- オンラインサービスの初回利用時のユーザー登録、利用登録の際にはブラウザーのブックマークに登録するなどしておく。
- バナー広告や検索結果などのリンクから直接パスワード等の入力を求められてもそこでは入力しないで、自分で登録したブックマークからログインなどを経てアクセスする等の工夫をする。
- 電子メールのリンクはクリックしない。
- 本物のウェブサイトであるかを確認する。
- ドメイン名が正しいか? / ウェブサイトを運営している組織は正しいか? / アドレスバーの鍵マークをクリックして証明書を確認する
- (感想)↑コレを全部確認しても本物か偽物かなんてワカランだろ!? 本物のサイトでもサテライトサイトやプロモーションサイトは .com とか .io とか .tv とかワケワカランし。証明書も Let's などを使うのが当たり前になっていて、企業サイトが総べて EV を使っているとは限らない!!
- モバイル端末では、URLが総べて表示されないので ドメイン をみて確認する。
- (感想)↑無理やろ、マジ無理やろ、アホちゃうか、お前は区別出来るんか?
- オンラインサービスの初回利用時のユーザー登録、利用登録の際にはブラウザーのブックマークに登録するなどしておく。
- なりすましメールに注意する
- パソコンやモバイル端末を安全に保ちましょう
- ソフトウェアを最新の状態にする
- パスワードのしっかりとした管理 (後段の フィッシングレポート2015 で触れるらしい)
- サービス事業者のセキュリティ機能を活用する
- ワンタイムパスワード
- アプリ生体認証
- メール認証、SMS認証
- 利用状況メール通知(ログイン通知や決済通知など)
- ソフトウェアキーボード << (感想)流石に嘘やろ
- ウイルス対策ソフト <<(感想)🤔確かにURLフィルター機能が付いているAVもあるな...
- フィッシングサイト検知ソフト << (感想)↑のURLフィルターのレピュテーション機能やな...
- 正しいアプリを使う
- Google Play か App Store 以外の野良アプリをインストールしない(サイドローディングしない)。
4. フィッシング対策協議会と本ガイドラインの位置づけ
フィッシング対策協議会は、2005 年 4 月に、フィッシング詐欺をはじめとするオンライン犯罪の増加を予見し、関係者が情報交換を行い、また被害況に応じた対策を推進するという目的で発足いたしました。
- 関係者が誰なのか?
- 設置者は誰なのか?
- 誰が権威を与えているのか?
謎の団体なんだけど...、どうしたら「フィッシング対策協議会」の素性が分かるのだろうか?
5. 付録
- フィッシング事例
- ショッピングサイトを騙る事例
- 銀行を騙る事例
- クレジットカードを騙る事例
- SNSを騙る事例
- オンラインゲームを騙る事例
- パスワードの考え方(「フィッシングレポート2015」より)
- 情報セキュリティ大学院大学 内田勝也 名誉教授のコラムを紹介している。
- パスワード管理ツール
- 手書きメモ、手書きノート
- 認証サービスの利用 <<(感想)組織のシステム管理者による一元化された認証管理サービスは、個人利用者向けではないですね。
フィッシング対策ガイドライン2021年度版
1. はじめに
- 想定読者と目的
- 対象:
- フィッシングによって被害を受けるウェブサイト運営者と利用者
- 目的
- フィッシングへの対策を整理して提示する。
- 対象:
- このガイドは何であって何でないか
- フィッシング対策に絞っている。
- 機密性、完全性、可用性について解説・提言はしない。
- EUCを対象として AV の話はしない。(フィッシングにつながるものは考慮する) << (感想)何を言っているかワカラナイ...
- 用語解説
- フィッシング(phishing)
- 実在する組織を騙って、ユーザーネーム、パスワード、アカウントID、ATM の暗証番号、クレジットカード番号といった個人情報を詐取すること。
- フィッシャー(phishier)
- フィッシング行為は、おとりとなる電子メールを起案する者、電子メールを送信する者、フィッシングサイトを設置する者など、複数の行為者で構成される。フィッシャーとは、それら一連の行為者の全体を意味する。
- フィッシングサイト(phishing site)
- 金融機関、クレジットカード会社など、金銭に関連するアカウント情報を持つサイトを模倣して設置されたおとりサイトのこと。
- フィッシング被害
- テイクダウン(take-down)
- フィッシングサイトを閉鎖することを指す。シャットダウンまたはサイトクローズともいう。
- CSIRT(シーサート、Computer Security Incident Response Team)
- コンピューター およびコンピューター ネットワークで発生したセキュリティインシデントに関する報告を受け取り、精査した後に、適切な対応を行うことを目的に組織されたチームのことを指す。特定の企業、大学など比較的大規模な教育機関、地域あるいは国家、研究ネットワークなどのために組織される。
- SMS(Short Message Service)
- 携帯電話同士で電話番号を宛先にして短いテキスト(文章)によるメッセージを送受信するサービス。開封率の高さから企業から利用者への連絡手段として利用されている。
- 錠前マーク
- フィッシング(phishing)
2. フィッシングに関する基礎知識
- フィッシング詐欺の手口(利用者の認証情報を取得する迄)
- (フィッシャー)正規のウェブサイトを模した偽サイトを準備する。
- (フィッシャー)利用者に偽サイトのURLへ誘引するメッセージ(メール、SMS)を送り付ける。
- (利用者)メッセージにより偽サイトに誘導される。
- (利用者)正規のウェブサイトと混乱し、利用者自身の正規ウェブサイトの認証情報を入力してしまう。
- SMSを利用したフィッシング詐欺
- SMSを利用したフィッシングでも手口や構造はPCメールをターゲットとしたものと大きく異なることは無い。
- (注釈)SMSフィッシングのことを「スミッシング」と呼んでいるのも耳にする。
- (注釈)SMSでは、一般ユーザー(回線契約利用者)が送信者偽装を見抜く術を持たないことが最も大きい難問であった。国際PSTN網を経由することで発信や番号を偽ってSMS送信する事が出来る。
- Web サイト運営者においては、フィッシングに利用される可能性が低い国内直接接続のSMS 配信を利用し、事前に発信者番号をWeb サイト等で告知することが対策としてあげられる。
- SMSを利用したフィッシングでも手口や構造はPCメールをターゲットとしたものと大きく異なることは無い。
3. フィッシング対策ガイドライン重要5項目
- 利用者に送信するメールには「なりすましメール対策」を施すこと
- 複数要素認証を要求すること
- フィッシャーの狙いは、認証情報(ログインアカウント情報、クレデンシャル)である。フィッシングによって詐取した認証情報を使用して正規ユーザーになりすまして資産の移動をする事を最終目的としている。(不正送金や商品の購入)
- 詐取した認証情報だけでは、ログインアカウントを使用できない仕組みにしておく事でフィッシャーに目的を達成させない。それにより被害を抑えることになる。
- 複数要素認証の利用: ワンタイムパスワード、FIDO2/WebAuthn デバイス
- ドメインは自己ブランドと認識して管理し、利用者に周知すること
- すべてのページにサーバー証明書を導入すること
- フィッシング詐欺対応に必要な組織編制とすること
- フィッシング詐欺に関する報告窓口を設けること
4. Web サイト運営者におけるフィッシング詐欺対策
利用者保護および信頼確保の視点を持ち、Web サイト運営者においても、十分なフィッシング詐欺対策を実施すべきであろう。
本ガイドラインで提示する対策事項では、実施必要性について以下のような優先度を設定している。 * ◎:実施すべきと考えられるもの * ○:実施を推奨するもの * △:必要に応じて実施すべきもの
- 4.1〜4.4 対策
- 【要件1】 ◎:利用者が確認できるように利用環境と分かりやすい説明に配慮した上で、どのように確認すればいいのかを分かりやすく端的に説明すること。
- 【要件2】 ◎:外部送信用メールサーバーを送信ドメイン認証に対応させること
- 【要件3】 ◎:利用者へのメール送信では、制作・送信に関するガイドラインを策定し、これに則って行うこと
- 【要件4】 〇:Web サイト運営者が利用者に送信するメールはテキスト形式とすること
- 【要件5】 ◎:利用者に送信するSMS には国内直接接続の配信を利用すること
- 【要件6】 ◎:利用者に情報発信する手段および内容を周知すること
- 【要件7】 ◎:Web サイトの正当性に係る情報を十分に提供する画面とすること
- 【要件8】 ◎:すべてのページにサーバー証明書を導入すること
- 【要件9】 ○:認証システムが許容するポリシーを利用者に示すこと
- 【要件10】 ○:色々なチャネルで利用者に対する脅威の状況を提供する
- 【要件11】 ◎:利用者に端末を安全に保つよう、注意を促すこと
- 【要件12】 ◎:複数要素認証を要求すること
- 【要件13】 ◎:ポイントや資産の移動に限度額を設定すること
- 【要件14】 ◎:ポイントや資産の移動時に利用者に通知を行うこと
- 【要件15】 ○:利用者の通常とは異なるアクセスに対しては追加のセキュリティを要求すること
- 【要件16】 ○:登録情報を変更するページへの移動には再度認証を要求すること
- 【要件17】 ○:重要情報の表示については制限を行う
- 【要件18】 ○:認証情報は厳格に管理すること(アカウントは不必要に発行しない)
- 【要件19】 ◎:アクセス履歴の表示
- 【要件20】 ◎:利用者の認知している Web サイト運営者名称から連想されるドメイン名とすること
- 【要件21】 ◎:使用するドメイン名と用途の情報を利用者に周知すること
- 【要件22】 ◎:ドメイン名の登録、利用、廃止にあたっては、自社のブランドとして認識して管理すること
- 【要件23】 ◎:フィッシング詐欺対応に必要な機能を備えた組織編制とすること
- 【要件24】 ◎:フィッシング詐欺に関する報告窓口を設けること
- 【要件25】 ◎:フィッシング詐欺発生時の行動計画を策定すること
- 【要件26】 ◎:フィッシング詐欺の手法および対策に関わる最新の情報を収集すること
- 【要件27】 ◎:フィッシングサイト閉鎖体制の整備をしておくこと
- 【要件28】 ○:フィッシングサイトアクセスブロック体制の整備をしておくこと
- 【要件29】 ◎:利用者が実施すべきフィッシング詐欺対策啓発活動を行うこと
- 【要件30】 ◎:フィッシング詐欺発生時の利用者との通信手段を整備しておくこと
- 【要件31】 ○:Web サイトに対する不審なアクセスを監視すること
- 【要件32】 △:フィッシング詐欺検知に有効なサービスを活用すること
- 【要件33】 △:端末の安全性を確認すること
- 【要件34】 △:バウンスメールを監視すること
- 4.5 フィッシング詐欺被害が発生してしまった際の対策
5. 利用者におけるフィッシング詐欺対策
6. 付録
7. 検討メンバー
フィッシング対策について
テイクダウンについて
- サービスプロバイダー(フィッシングサイトを見つけ出して停止させる)
- Malicious Site Takedown & Countermeasures | Netcraft
- Appgate | Phishing Protection
- フィッシング対策サービス|株式会社ACSiON(アクシオン)
- Website Takedown Service And Phishing Protection | PhishFort
- Takedown-As-A-Service | Domain Takedown Service | ZeroFox
- Phishing Takedown < Anti-Phishing < Phishing Protection | PhishLabs
- Automated Website Takedown | Online Fraud & Phishing Prevention | Bolster
- Phishing - Digital Brand Protection – FraudWatch
- フィッシング疑惑のあるサイト報告
- Netcraft フィッシングサイト報告受付フォーム: Report Phishing, Malware and Suspicious URLs
- Googleフィッシングサイト報告受付フォーム: Report a Phishing Page
- NCSC(英国): GCHQ
- 警視庁 フィッシング110番: フィッシング110番
- Firefoxブラウザから報告する: 偽装サイトとマルウェアからの防護機能の動作 | Firefox ヘルプ
- フィッシング対策協議会 報告フォーム: フィッシング対策協議会 Council of Anti-Phishing Japan | 報告
- フィッシングサイトを停止させる手順書: Phishing: How To Take a Phishing Site Offline | Phishing Defined | Core Sentinel