フィッシング対策協議会(東京都中央区、会長:岡村 久道)の証明書普及促進ワーキンググループ(主査:田上 利博)は、日本国内のフィッシング詐欺における、なりすましメールの手口と対策方法についてまとめた「フィッシングメール詐欺の手口と対策 解説ドキュメント(以下、本解説ドキュメント」を公開しました。
本解説ドキュメントは、フィッシング詐欺におけるなりすましメールの代表的な手口である、ディスプレイネーム、類似ドメイン、踏み台や、これまでにフィッシング対策協議会がフィッシング報告状況で注意喚起を行ってきたなりすましメールの事例をはじめ、サービス事業者に向けたなりすましメールの対策方法について解説しています。
2023 年 2 月に経済産業省、警察庁および総務省は、クレジットカード番号などの不正利用の原因となるフィッシング被害が増加していることを鑑み、クレジットカード会社などに対して、送信ドメイン認証技術( DMARC :ディーマーク)の導入をはじめとするフィッシング詐欺対策の強化を要請しました。また、 2023 年に 6 月にフィッシング対策協議会の技術・制度検討ワーキンググループが公開した「フィッシングレポート 2023」によると、送信元メールアドレスに正規サービスのドメインを使用した「なりすまし」送信メールが継続していて、観測している受信メールアドレスで受信したフィッシングメールの内、平均約 71.6 %、最大で 89.9 %が「なりすまし」送信メールでした。
利用者を保護するために、S/MIME 署名、送信ドメイン認証技術( DMARC )や正規メールにはブランドアイコンが表示される( BIMI ( VMC 証明書))などフィッシング対策を強化しているサービス事業者もあり、なりすましメールの手口やその対策方法を理解することで、本解説ドキュメントがフィッシング対策の一助になれば幸いです。
<本解説ドキュメント概要>
| なりすましメール手口 | 類似ドメイン |
| ディスプレイネーム | |
| 踏み台 | |
| なりすましメール事例 | EC サイトを装ったなりすましメール |
| 官公庁や公共サービスを装ったなりすましメール | |
| パスワードリセットのなりすましメール | |
| クレジットカードや決済サービスを装ったなりすましメール | |
| 銀行を装ったなりすましメール | |
| 配達通知を装ったなりすましメール | |
| 旅行関係サービスを装ったなりすましメール | |
| クラウドサービスを装ったなりすましメール | |
| インターネットプロパイダーを装ったなりすましメール | |
| ビジネスメール詐欺 | |
| なりすましメールの対応方法 | S/MIME |
| SPF/DKIM/DMARC | |
| BIMI(認証マーク証明書(VMC)) |
フィッシングメール詐欺の手口と対策 解説ドキュメント
https://www.antiphishing.jp/report/wg/cert_explaindoc_202402.pdf
<証明書普及促進ワーキンググループ 構成メンバー>
主査:田上 利博 (サイバートラスト株式会社)
副主査:稲葉 厚志 (GMOグローバルサイン株式会社)
<会員組織>
市原 創(キヤノンITソリューションズ株式会社)
大久保 智史(デジサート・ジャパン合同会社)
林 正人(デジサート・ジャパン合同会社)
加藤 孝浩(TOPPANエッジ株式会社)
喜多 浩之(セコムトラストシステムズ株式会社)
町田 隼人(株式会社日本レジストリサービス)
米谷 嘉朗(株式会社日本レジストリサービス)※
中津 圭輔(HENNGE株式会社)
福田 誠(HENNGE株式会社)
稲森 伸介(株式会社ラック)
関 海斗(株式会社ラック)
又江原 恭彦(株式会社ラック)
大泰司 章(一般財団法人日本情報経済社会推進協会)
高倉 万記子(一般財団法人日本情報経済社会推進協会)
※ 2023 年 9 月まで
<本件に関するお問い合わせ先>
<報道関係からのお問い合わせ先>