フィッシング対策協議会は3月6日、「2023年度 フィッシング対策協議会 技術・制度検討 WG 報告会」において発表された2023年度のトピックスの資料を公開した。同報告会は2月27日にオンラインで開催されたもの。
報告会は、TOPPANエッジ株式会社 / フィッシング対策協議会 運営委員長である加藤孝浩氏の開会挨拶に始まり、一般社団法人日本ネットワークインフォメーションセンター / 技術・制度検討 WG 主査である木村泰司氏による「フィッシング対策ガイドライン2024の概要と改定ポイント」、加藤孝浩氏による「2024年版フィッシングレポートの概要とポイント」の報告があった。
2023年度のトピックスについては、NTTコム オンライン・マーケティング・ソリューション株式会社の黒田和宏氏による「フィッシングに対する意識調査の紹介」、加藤孝浩氏による「Googleと米Yahooがフィッシングメール対策を強化」、SBI EVERSPIN株式会社の尹慈明氏による「不正アプリ検知ツールで検知した直近の『悪性アプリ』に関して」が発表された。
黒田氏の発表では、NTTコム オンラインが2021年から毎年実施している、SMSを用いたフィッシング詐欺に関する消費者の意識や被害の実態に関するアンケート調査の2023年版の結果を紹介した。この一年間でフィッシング詐欺と考えられるSMSを受け取った人は52%であり、このうち4.4%の人が実際に被害が発生していた。
また、一年間より前にフィッシングの被害に遭った人の約半数が、この一年間に再び被害に遭っていることも分かった。黒田氏は、正規のSMSと詐欺のSMSを見分ける手段は、まだ広く認知されているとは言えないことから、今後も引き続き、利用者向けの周知を強化していく必要があるとしている。
加藤氏の発表では、2024年版のフィッシングレポートから「Googleと米Yahooが迷惑メール対策を強化」したことについて解説した。2023年10月にGoogleと米Yahooが送信者に対し、メッセージを送信する際にメール認証が必要になる旨の「送信者向けガイドライン」を発表、2024年2月から適用されている。
ガイドラインでは、なりすましメール対策としてSPF、DKIM、DMARC、そしてBIMIといった送信ドメイン認証の対応を条件としており、これらに対応していないメールは拒否されたり、受信者の迷惑メールフォルダーに配信されたりする。
加藤氏はフィッシング対策ガイドライン2024から送信ドメイン認証方式の一覧を示し、詳しく説明している。特にDMARC認証を満たすためには、SPF認証とSPFアライメント、またはDKIM認証とDKIMアライメントのいずれかを満たす必要がある。メール配信サービス側の設定だけでは満たすことができないため、自社ドメインの管理主体である自社DNSに設定が必須であることを、関係部門全体で認識する必要があるとした。
尹氏の発表では、SBI EVERSPIN社が提供する「Fake Finder」で検知した不正アプリについて分析し、特徴的なものを紹介した。「Fake Finder」は、Androidスマートフォンにインストールされた不正アプリをホワイトリスト方式で検知するAI基盤のソリューション。これまでに検査したアプリは約2,300億に上り、悪性アプリを710万以上検知している。
尹氏は検知した不正アプリとして、「あんしんセキュリティ」などの過剰な個人情報の収集を行う不正アプリ、「JPpost」などの金融機関、または警察及び公共機関(郵便局等)を詐称する偽アプリ、「Chrome」などの個人情報を搾取する不正アプリまたは、金融機関または公共機関等を詐称する偽アプリについて具体的な動作について説明し、対策についても言及した。
