総務省、警察庁及び経済産業省は、本日、クレジットカード番号等の不正利用の原因の一つであるフィッシング被害が増加していることに鑑み、クレジットカード会社等に対し、送信ドメイン認証技術(DMARC)の導入を始めとするフィッシング対策の強化を要請しました。
1 経緯
昨今、悪意のある第三者が、クレジットカード会社等を騙った電子メール等を利用者に送信し、利用者を当該電子メール等のリンクから偽サイトに誘導した上で、利用者のクレジットカード番号等を詐取する攻撃(いわゆるフィッシング)が多発しています。
フィッシングによるクレジットカード番号等の詐取は、クレジットカード番号等の不正利用の一因となっており、利用者保護の観点から、クレジットカード会社等において適切な対応が取られることが求められます。
とりわけ、フィッシングメールがドメイン名をなりすまして送信されることが多い点に鑑みると、送信ドメイン認証技術のうち、フィッシングメール対策に特に有効とされているDMARCを導入し、ドメイン名のなりすましを検出するとともに、自社を騙るフィッシングメールが利用者に届かなくなるよう利用者の受信を制限することが重要です。
総務省、警察庁及び経済産業省は、こうした状況を踏まえ、クレジットカード会社等に対するフィッシング対策の強化を要請しました。
※DMARC: Domain-based Message Authentication, Reporting, and Conformanceの略称。電子メールにおける送信ドメイン認証技術の一つ。
2 概要
(1)DMARCの導入によるなりすましメール対策
・利用者向けに公開する全てのドメイン名(メールの送信を行わないドメイン名を含む)について、DMARCを導入すること。
・DMARC導入にあたっては受信者側でなりすましメールの受信拒否を行うポリシーでの運用を行うこと。
図:DMARCの仕組み
出典:迷惑メール対策推進協議会「送信ドメイン認証技術導入マニュアル」
(2)その他のフィッシング対策
・フィッシング対策協議会が策定した「フィッシング対策ガイドライン」において、フィッシングに対して有効とされている対策を実施すること。
【参考資料】
・迷惑メール対策推進協議会「送信ドメイン認証技術導入マニュアル第3版」
https://www.dekyo.or.jp/soudan/aspc/report.html#dam
・フィッシング対策協議会「フィッシング対策ガイドライン2022 年度版」
https://www.antiphishing.jp/report/guideline/antiphishing_guideline2022.html