フィッシング対策のガイドラインについて

フィッシング対策ガイドライン 2021年度版 フィッシング対策協議会2021年6月1日 を読んでみました。

概要

https://www.antiphishing.jp/news/techwg_openday2020_online_TOPPANFORMS.pdf

f:id:nginoza:20211022012931p:plain
フィッシング対策協議会 2021年版フィッシングレポートの概要とポイント

利用者向けフィッシング詐欺対策ガイドライン2021年度版

先ずは「利用者向け」要するにコンシューマ向けのガイドラインを読んでみました。

  • 目次
    1. フィッシングとは
    2. フィッシング対策3つの心得
    3. いますぐできるフィッシング対策
    4. フィッシング対策協議会と本ガイドラインの位置づけ
    5. 付録
      1. フィッシング事例
      2. パスワードの考え方(「フィッシングレポート2015」より)

1. フィッシングとは

フィッシングとは Phishing であり魚釣りではありません。

  • フィッシング(Phishing) ≠ 魚釣り(Fishing)
  • 様々なサービスの利用者(消費者)のパスワードを詐取(だまし取る)することを狙いとしています。

2. フィッシング対策3つの心得

  1. STOP 立ち止まって理解する
  2. THINK 何が起こるか考える
  3. CONNECT 安心してインターネットを楽しむ

stopthinkconnect.jp

3. いますぐできるフィッシング対策

  1. 正しいURLにアクセスする
    • オンラインサービスの初回利用時のユーザー登録、利用登録の際にはブラウザーのブックマークに登録するなどしておく。
      • バナー広告や検索結果などのリンクから直接パスワード等の入力を求められてもそこでは入力しないで、自分で登録したブックマークからログインなどを経てアクセスする等の工夫をする。
    • 電子メールのリンクはクリックしない。
    • 本物のウェブサイトであるかを確認する。
      • ドメイン名が正しいか? / ウェブサイトを運営している組織は正しいか? / アドレスバーの鍵マークをクリックして証明書を確認する
      • (感想)↑コレを全部確認しても本物か偽物かなんてワカランだろ!? 本物のサイトでもサテライトサイトやプロモーションサイトは .com とか .io とか .tv とかワケワカランし。証明書も Let's などを使うのが当たり前になっていて、企業サイトが総べて EV を使っているとは限らない!!
    • モバイル端末では、URLが総べて表示されないので ドメイン をみて確認する。
      • (感想)↑無理やろ、マジ無理やろ、アホちゃうか、お前は区別出来るんか?
  2. なりすましメールに注意する
    • SNSやSMSのメッセージにも注意する。事前に銀行やショッピングサイトからどのようなタイミングでメールが届くかを事前に把握する。
      • (感想)↑ムチャクチャ言うとる。不可能やろ、大量のデータを記憶して多変量解析出来る頭脳を持っておるのか?
    • 電子署名の確認
      • 多くの銀行は電子メールに S/MIME を採用している。電子署名を確認するようにする。
      • (感想)いや、それ、みんながみんな S/MIME 使っているわけじゃない所が狙い目になっているので...、これを対策というのはバカなのでは?
    • SMSの発信者番号の確認
      • (感想)それは偽装出来るし、本物でもさ見覚えが無い番号からメッセージが届くじゃ無いか...。バカかな?
  3. パソコンやモバイル端末を安全に保ちましょう
    • ソフトウェアを最新の状態にする
    • パスワードのしっかりとした管理 (後段の フィッシングレポート2015 で触れるらしい)
    • サービス事業者のセキュリティ機能を活用する
      • ワンタイムパスワード
      • アプリ生体認証
      • メール認証、SMS認証
      • 利用状況メール通知(ログイン通知や決済通知など)
      • ソフトウェアキーボード << (感想)流石に嘘やろ
      • ウイルス対策ソフト <<(感想)🤔確かにURLフィルター機能が付いているAVもあるな...
      • フィッシングサイト検知ソフト << (感想)↑のURLフィルターのレピュテーション機能やな...
    • 正しいアプリを使う
      • Google PlayApp Store 以外の野良アプリをインストールしない(サイドローディングしない)。

4. フィッシング対策協議会と本ガイドラインの位置づけ

フィッシング対策協議会は、2005 年 4 月に、フィッシング詐欺をはじめとするオンライン犯罪の増加を予見し、関係者が情報交換を行い、また被害況に応じた対策を推進するという目的で発足いたしました。

  • 関係者が誰なのか?
  • 設置者は誰なのか?
  • 誰が権威を与えているのか?

謎の団体なんだけど...、どうしたら「フィッシング対策協議会」の素性が分かるのだろうか?

5. 付録

  1. フィッシング事例
    • ショッピングサイトを騙る事例
    • 銀行を騙る事例
    • クレジットカードを騙る事例
    • SNSを騙る事例
    • オンラインゲームを騙る事例
  2. パスワードの考え方(「フィッシングレポート2015」より)
    • 情報セキュリティ大学院大学 内田勝也 名誉教授のコラムを紹介している。フィッシングレポート2015 フィッシング対策協議会 より
    • パスワード管理ツール
    • 手書きメモ、手書きノート
    • 認証サービスの利用 <<(感想)組織のシステム管理者による一元化された認証管理サービスは、個人利用者向けではないですね。

フィッシング対策ガイドライン2021年度版

1. はじめに

  1. 想定読者と目的
    • 対象:
      • フィッシングによって被害を受けるウェブサイト運営者と利用者
    • 目的
      • フィッシングへの対策を整理して提示する。
  2. このガイドは何であって何でないか
    • フィッシング対策に絞っている。
    • 機密性、完全性、可用性について解説・提言はしない。
    • EUCを対象として AV の話はしない。(フィッシングにつながるものは考慮する) << (感想)何を言っているかワカラナイ...
  3. 用語解説
    • フィッシング(phishing
      • 実在する組織を騙って、ユーザーネーム、パスワード、アカウントID、ATM の暗証番号、クレジットカード番号といった個人情報を詐取すること。
    • フィッシャー(phishier)
      • フィッシング行為は、おとりとなる電子メールを起案する者、電子メールを送信する者、フィッシングサイトを設置する者など、複数の行為者で構成される。フィッシャーとは、それら一連の行為者の全体を意味する。
    • フィッシングサイト(phishing site)
      • 金融機関、クレジットカード会社など、金銭に関連するアカウント情報を持つサイトを模倣して設置されたおとりサイトのこと。
    • フィッシング被害
      • 事業者がその社名やサービス名などブランドを不正に第三者に騙(かた)られたり、そのログイン画面などを真似られたりすることによりフィッシング行為に悪用されること。または、そのフィッシング詐欺により利用者や従業員が個人識別情報を詐取されること。または、そのフィッシ ング詐欺により利用者や事業者が金銭的な損害を被ること。
    • テイクダウン(take-down)
      • フィッシングサイトを閉鎖することを指す。シャットダウンまたはサイトクローズともいう。
    • CSIRT(シーサート、Computer Security Incident Response Team)
      • コンピューター およびコンピューター ネットワークで発生したセキュリティインシデントに関する報告を受け取り、精査した後に、適切な対応を行うことを目的に組織されたチームのことを指す。特定の企業、大学など比較的大規模な教育機関、地域あるいは国家、研究ネットワークなどのために組織される。
    • SMS(Short Message Service)
      • 携帯電話同士で電話番号を宛先にして短いテキスト(文章)によるメッセージを送受信するサービス。開封率の高さから企業から利用者への連絡手段として利用されている。
    • 錠前マーク
      • Web ブラウザーのアドレスバーの近くに表示されるアイコンのことで、Web ブラウザーと、アクセスしている先の Web サーバーとの間でやり取りされる通信データが暗号化されていることを示している。途中で盗聴されてもデータの内容を読み取られないが、安価なもしくは無料のサーバー証明書を使ったフィッシングサイトが増加しており、錠前マークが表示されているだけではフィッシングに対して安全とは言えなくなりつつある。鍵マークと呼ばれることもある。

2. フィッシングに関する基礎知識

  1. フィッシング詐欺の手口(利用者の認証情報を取得する迄)
    • (フィッシャー)正規のウェブサイトを模した偽サイトを準備する。
    • (フィッシャー)利用者に偽サイトのURLへ誘引するメッセージ(メール、SMS)を送り付ける。
    • (利用者)メッセージにより偽サイトに誘導される。
    • (利用者)正規のウェブサイトと混乱し、利用者自身の正規ウェブサイトの認証情報を入力してしまう。
    • フィッシング対策ガイドライン 2021年版 フィッシング対策協議会
      図3 フィッシング詐欺の複雑な例
      • 防弾ホスティング(Bulletproof Hosting) を利用して偽サイトを公開する。
      • マルウェアや漏えいアカウント情報(Anti Public Combo List)、フィッシングキット、認証情報コーミング(Credential Stuffing Attack Tool)等々の悪用ツールを売買し活用する。
      • ボットネット等を利用しフィッシングメールをバラ蒔く。
      • これら全体がサイバー犯罪のサービス(Crime as a Service)として闇で売買されている。
  2. SMSを利用したフィッシング詐欺

3. フィッシング対策ガイドライン重要5項目

  • 利用者に送信するメールには「なりすましメール対策」を施すこと
  • 複数要素認証を要求すること
  • ドメインは自己ブランドと認識して管理し、利用者に周知すること
  • すべてのページにサーバー証明書を導入すること
  • フィッシング詐欺対応に必要な組織編制とすること
  1. 利用者に送信するメールには「なりすましメール対策」を施すこと
    • 外部送信用メールサーバーには、SPFDKIM の送信ドメイン認証と送信元アドレスの偽証検知のヒントを仕込む。さらに DMARC を活用し送信者偽装を施したフィッシングメールを利用者に届けない。
    • メールに使用していないドメインDNS の MX レコードと DMARC レコードを記述し、DMARC の受信制御ポリシーを reject にすることはスパムやフィッシングメールの未然防止に繋がる。
    • SMS の配信には、国内直接接続のSMS 配信を利用し、事前に発信者番号をWeb サイト等で告知することが必要である。
  2. 複数要素認証を要求すること
    • フィッシャーの狙いは、認証情報(ログインアカウント情報、クレデンシャル)である。フィッシングによって詐取した認証情報を使用して正規ユーザーになりすまして資産の移動をする事を最終目的としている。(不正送金や商品の購入)
    • 詐取した認証情報だけでは、ログインアカウントを使用できない仕組みにしておく事でフィッシャーに目的を達成させない。それにより被害を抑えることになる。
  3. ドメインは自己ブランドと認識して管理し、利用者に周知すること
    • 使用するドメイン名と用途の情報を利用者に周知すること
    • ドメイン名の登録、登録、利用、廃止にあたっては、ドメイン名を自己のブランドとして認識して管理すること
  4. すべてのページにサーバー証明書を導入すること
    • 常時SSL化(ウェブサイトの総べてのページで SSL/TLS 化する)
      • (注釈)EV証明書であれば、ドメインの持ち主が実在し登記されていることも証明することになるが DV証明書であること、そして、フィッシングサイトもSSL化されていることを考慮しても、これがフィッシング対策とはならない。
  5. フィッシング詐欺対応に必要な組織編制とすること

4. Web サイト運営者におけるフィッシング詐欺対策

フィッシング対策ガイドライン 2021年版 ウェブサイト運営者におけるフィッシング詐欺対策 より
図6 利用者サイドでのフィッシング被害発生フロー

利用者保護および信頼確保の視点を持ち、Web サイト運営者においても、十分なフィッシング詐欺対策を実施すべきであろう。

ガイドラインで提示する対策事項では、実施必要性について以下のような優先度を設定している。 * ◎:実施すべきと考えられるもの * ○:実施を推奨するもの * △:必要に応じて実施すべきもの

  • 4.1〜4.4 対策
    • 【要件1】 ◎:利用者が確認できるように利用環境と分かりやすい説明に配慮した上で、どのように確認すればいいのかを分かりやすく端的に説明すること。
    • 【要件2】 ◎:外部送信用メールサーバーを送信ドメイン認証に対応させること
    • 【要件3】 ◎:利用者へのメール送信では、制作・送信に関するガイドラインを策定し、これに則って行うこと
    • 【要件4】 〇:Web サイト運営者が利用者に送信するメールはテキスト形式とすること
    • 【要件5】 ◎:利用者に送信するSMS には国内直接接続の配信を利用すること
    • 【要件6】 ◎:利用者に情報発信する手段および内容を周知すること
    • 【要件7】 ◎:Web サイトの正当性に係る情報を十分に提供する画面とすること
    • 【要件8】 ◎:すべてのページにサーバー証明書を導入すること
    • 【要件9】 ○:認証システムが許容するポリシーを利用者に示すこと
    • 【要件10】 ○:色々なチャネルで利用者に対する脅威の状況を提供する
    • 【要件11】 ◎:利用者に端末を安全に保つよう、注意を促すこと
    • 【要件12】 ◎:複数要素認証を要求すること
    • 【要件13】 ◎:ポイントや資産の移動に限度額を設定すること
    • 【要件14】 ◎:ポイントや資産の移動時に利用者に通知を行うこと
    • 【要件15】 ○:利用者の通常とは異なるアクセスに対しては追加のセキュリティを要求すること
    • 【要件16】 ○:登録情報を変更するページへの移動には再度認証を要求すること
    • 【要件17】 ○:重要情報の表示については制限を行う
    • 【要件18】 ○:認証情報は厳格に管理すること(アカウントは不必要に発行しない)
    • 【要件19】 ◎:アクセス履歴の表示
    • 【要件20】 ◎:利用者の認知している Web サイト運営者名称から連想されるドメイン名とすること
    • 【要件21】 ◎:使用するドメイン名と用途の情報を利用者に周知すること
    • 【要件22】 ◎:ドメイン名の登録、利用、廃止にあたっては、自社のブランドとして認識して管理すること
    • 【要件23】 ◎:フィッシング詐欺対応に必要な機能を備えた組織編制とすること
    • 【要件24】 ◎:フィッシング詐欺に関する報告窓口を設けること
    • 【要件25】 ◎:フィッシング詐欺発生時の行動計画を策定すること
    • 【要件26】 ◎:フィッシング詐欺の手法および対策に関わる最新の情報を収集すること
    • 【要件27】 ◎:フィッシングサイト閉鎖体制の整備をしておくこと
    • 【要件28】 ○:フィッシングサイトアクセスブロック体制の整備をしておくこと
    • 【要件29】 ◎:利用者が実施すべきフィッシング詐欺対策啓発活動を行うこと
    • 【要件30】 ◎:フィッシング詐欺発生時の利用者との通信手段を整備しておくこと
    • 【要件31】 ○:Web サイトに対する不審なアクセスを監視すること
    • 【要件32】 △:フィッシング詐欺検知に有効なサービスを活用すること
    • 【要件33】 △:端末の安全性を確認すること
    • 【要件34】 △:バウンスメールを監視すること
  • 4.5 フィッシング詐欺被害が発生してしまった際の対策
    1. フィッシング詐欺被害の発見
    2. フィッシング詐欺被害状況の把握
    3. フィッシング詐欺被害対応の活動
      • フィッシングサイトテイクダウン活動
      • フィッシングメールに対する注意勧告
      • 関係機関への連絡、報道発表
    4. 生じたフィッシング詐欺被害の回復措置
    5. 事後対応
      • フィッシング詐欺被害時の対応フローの例

5. 利用者におけるフィッシング詐欺対策

6. 付録

7. 検討メンバー

フィッシング対策について

テイクダウンについて