日本電気株式会社(NEC)は4月28日、サービス提供者側が行うべきフィッシング対策について、同社セキュリティブログで解説している。NECサイバーセキュリティ戦略統括部 セキュリティ技術センター サイバーインテリジェンスグループの郡司氏が執筆している。
警察庁が3月16日に発表した「令和4年におけるサイバー空間をめぐる脅威の情勢等について」によると、2022年のフィッシング報告件数は96万8,832件と前年比84.0%の増加となり、IPA 発行の「情報セキュリティ10大脅威 2023」でも、「フィッシングによる個人情報等の詐欺」は個人における情報セキュリティ脅威の1位と位置付けられている。
同ブログでは、サービス提供者側が行うべき4つのフィッシング対策として下記を挙げている。
・サイトやメールが本物であることをユーザーが確認できるようにする
ドメイン名は組織のブランドであることを意識し、適切に維持・管理・周知する
提供しているすべてのサイトにサーバ証明書を導入する
SPF・DKIM・DMARC・BIMIを適切に設定し、ユーザーが正しい送信者からのメールであることを確認することができるようにする
・偽サイトを極力減らす
偽サイトに使われそうなドメインをあらかじめ取得しておく
偽サイトを見つけたらJPCERT/CCに依頼し閉鎖するよう働きかけを行う
・サービス利用時の本人確認を強化する
フィッシングにより流出した情報だけではサービスを利用できないように、多要素認証を導入する
・ユーザーとのコミュニケーションを深める
自組織を名乗るフィッシングメールやフィッシングサイトを確認した場合は、ユーザーへの注意喚起を行うことや、ユーザーの問い合わせ窓口を用意する
普段からユーザーと情報をやりとりできるチャネルを複数確保しておく
