ニュース
警察庁が解説するフィッシング詐欺の事例と対策、民間企業には「DMARC」での対応と被害相談・報告をお願い
「フィッシング対策セミナー 2022」開催
2022年11月15日 07:35
サイバー空間はすでに公共空間に、犯罪対策が必要
フィッシング対策協議会は11月4日、「フィッシング対策セミナー 2022」を開催した。ここでは警察庁の中嶋昌幸氏(サイバー警察局サイバー企画課官民連携推進室長)による講演「警察におけるサイバーセキュリティ対策~フィッシング対策を中心に~」の内容について紹介する。
冒頭、中嶋氏は「サイバー空間は(以前はある程度の装備と知識をもって参加していたものが)今や全国民が参加する公共空間」と述べ、必然的にサイバー空間での犯罪にも対応しなければならないとコメントした。
コロナ禍によって急速にデジタル化が進み、電子決済やeKYCなど重要なやり取りが非対面のサイバー空間に移行、さらに働き方改革の一環としてスタートしたテレワークも拡大している。
一方、インターネット上の犯罪も急増している。ランサムウェアによる被害報告も2020年上半期と比較して2022年上半期は5倍以上となり、侵入経路はVPN機器(68%)やリモートデスクトップ(15%)が多い結果となった。
ランサムウェアの被害を受けた国内企業はすでに何件も確認されており、最近も医療機関がランサムウェアによって業務が停止し、市民生活に重大な影響が出たケースもある。さらに政府機関や重要インフラ事業者を標的としたサイバー攻撃も世界的規模で報告されている。
国家レベルで実行されたサイバー攻撃に関しては、北朝鮮当局の下部組織とされるサイバー攻撃グループ「ラザルス(Lazarus)」が日本の暗号資産関連事業者を標的にしているケースについて紹介した。10月には警視庁や金融庁、内閣サイバーセキュリティセンターが暗号資産関連事業者等を標的としたサイバー攻撃に関する注意喚起を実施した。
フィッシング対策における産学官の取り組み、企業にDMARC対応と被害報告をお願い
フィッシング詐欺に関しても、相談件数はうなぎのぼりであり、クレジットカード事業者や通信事業者を装ったものが最近の報告では多いという。
フィッシング詐欺によりログイン情報を盗まれた結果、不正送金に発展する事例も8月と9月に急増し、9月22日には警察庁が注意喚起を実施している。
国税庁や金融庁をかたったフィシング詐欺の報告も寄せられており、税金の納付をクレジットカードやプリペイドカードで行うよう促すフィッシングサイトも確認されている。
このような現状から中嶋氏は警察庁のフィッシング対策における官民連携の状況を説明した。現在、フィッシングメールの対策として警察庁が日本サイバー犯罪対策センター(JC3)を経由して届く情報と、利用者からの都道府県警察への相談や被害届をまとめ、アンチウイルスベンダーやフィルタリング事業者などに提供する。これによって、ウイルス対策ソフトやブラウザ機能などでの警告表示、フィルタリングアプリや通信機器でのフィルタリング、迷惑SMSの遮断などに活用しているという。
フィッシング詐欺への対処法について中嶋氏は、心当たりのないメッセージのリンクはクリックせず、ウェブブラウザーのブックマークや公式アプリからのアクセスを推奨した。また、フィッシングにより不正アクセスされた際にパスワードが窃取されないように、クラウド上に情報を保存できる機能を備えるメモアプリや、ウェブメールの下書きなどにパスワードを書いておかないように促した。
また、会社組織で行うフィッシングメールへの対応として、送信ドメイン認証「DMARC」の活用を促した。2件の事例では、いずれもコールセンター対応が大幅に減ったことをメリットとして挙げている一方、完全運用に至るまでの期間が長いこと、経営陣を巻き込んだ合意形成が重要である点について説明した。
また、DMARCの利用には「SPF」もしくは「DKIM」の導入が必須となるが、SFPを使用しているだけでDMARCを導入すると、利用者がメール転送を行っているとDMARC:Failとなることを注意事項として挙げていた。
