2013年版の「フィッシング対策ガイドライン」が公開に

フィッシング対策協議会は17日、2013年版の「フィッシング対策ガイドライン」を公開した。年々進化し、日々変化していくフィッシング手法に対し、それに対応する新しい対策や技術の研究開発も進んでいる。これを社会的に還元するためのガイドラインで、サービス事業者向け、および利用者向けのそれぞれで作成・公開されており、サイトから無料でダウンロードできる。

改訂した2013年版では、サービス事業者における、フィッシング詐欺被害の発生抑止、また発生の迅速な検知、発生後の適切な対応という3つの対策のうち、発生抑止対策として、新たに認証システムが許容するパスワードポリシーを利用者に示すことを推奨とし、要件に盛り込んで定義した。利用者がパスワードを登録・変更する際に、入力されたパスワードの強度を知らせ、システムが許容する範囲で、より強固なパスワードを求めるようにするよう求めている。

利用者向けの対策としては、実施すべき対策として、正しいURLを確認することや、錠前マークを確認することを新たに挙げ、さらにパソコンの利用には標準ユーザアカウントを利用し、ユーザアカウント制御機能を活用するよう推奨している。

また、付録として事業者があやまって陥りやすい具体的事例をまとめたNG集を追加。「利用者からの通報・相談窓口が明確でない」「対応方法が未整備、セキュリティを保つ精神・運用の稼働とコストの考慮が手薄」「利用者に送信するメール様式がバラバラ」「SSL/TLS通信を正しく使用していない」「ログインIDやパスワード文字列の制限が不用意に緩い」といった例が挙げられている。

フィッシング対策協議会では、この対策ガイドラインを、事業者においては自社サービスにおけるフィッシング対策の促進・充実を図ることに、一般利用者・消費者においては、フィッシング詐欺に対する正確な知識をもつことによる的確な対応に、それぞれ役立ててほしいとしている。



フィッシング対策協議会　資料公開
https://www.antiphishing.jp/news/