サイト内検索
コンサルティングメニュー
コンサルティング事業
HOME
ソリューション
コラム・
事例・資料
お問い合わせ

はじめに

フィッシング対策協議会から、「フィッシング対策ガイドライン」が更新されて、2024年度版として公開されました[1]。協議会に対するフィッシングの申告は、20211月の1万件から20234月には9万件に増加し、金融庁からインターネットバンキングの不正送金への注意喚起が出されるなど、フィッシング被害が社会的な問題となっています。協議会は最新状況に対応するため、ガイドラインを毎年更新しています。

ガイドラインの対象読者は、「フィッシングによる被害を受ける可能性のある利用者および Web サイト運営者」とされて、ガイドラインが規定する対策はWeb運営、Emailフィッシング、SMSスミッシングと幅広くカバーしています。

網羅的な対策が記載されている一方で、個別の課題に対して、ガイドラインをどのように利用すればよいかという悩みも寄せられています。SMSを用いたスミッシングに関しては、自組織のWebサイトで起こる被害だけでなく、自組織を騙るスミッシングに対して、どの部分から対処すればよいのでしょうか、という質問を受ける場合があります。

そこで、このコラムでは、フィッシング対策ガイドラインの更新内容を説明すると共に、自組織を騙るスミッシングに対応するためにガイドラインを活用する観点から、ガイドラインの使い方を説明いたします。

フィッシング対策ガイドライン2024年度版の概要

1にガイドラインの構成と各章の概要をまとめます。Webサイト運営者は、サイト利用者をフィッシング詐欺から守るために、次の手順でガイドラインを活用することが想定されています。

章)重要5項目の実施確認
(3章)要件22項目の実施確認
(4章)対策の実施確認

このように各章の内容を順に確認し、自組織がやるべきことを把握します。対策ができていない、または不十分な箇所があれば、その点について改善を行います。

表題

概要
1.

はじめに
  • ガイドラインの想定読者と目的を提示。
  • 想定読者は「フィッシングによる被害を受ける可能性のあるWebサイト運営者および利用者」であり、自組織のWebサイトをフィッシング被害からも守ることを目的とする
2.

フィッシング対策ガイドライン重要5項目
  • Webサイト運営者の観点からみたフィッシング対策における重要項目
  • 各項目は、第3章の関連する要件にリンクを張る
3.

Web運営者における
フィッシング対策
  • Webサイト運営者の観点からみたフィッシング対策の詳細
  • 被害抑制の対策を、22個の要件を6つのカテゴリに分けて説明
4.

フィッシング対策
マニュアル
  • 要件に基づく対策実施に必要な手順や情報
  • 要件と対策を分離して読みやすくする
5.

利用者における
フィッシング対策
  • 利用者観点からの対策の概要
  • 本ガイドラインと並行して、「利用者向けフィッシング詐欺対策ガイドライン」を公開しており、利用者が詐欺被害から自分を守るために利用することを推奨
6.

付録
  • 昨年度版の10ページから25ページに増加
  • 用語集・基礎知識が付録に移行
  • 3章の要件一覧をチェックリストにして、自組織の対応状況を判断する基準できるようにする

表1 フィッシング対策ガイドライン(2024年度版)の構成と概要

前年度版からの更新として5つのポイントをあげられており、使いやすさが意識されています。

  • コンテンツへの動線の見直し。基本的な概念の説明や用語集を付録に移動
  • より簡潔なものにしていくための情勢の変化を受けた項目削除
  • 要件を示す内容とその実施方法を示す内容とを分別
  • 付録にフィッシング対策チェックリストの追加
  • その他、最新情報へのアップデート

これらの更新により、ガイドラインはさらに使いやすくなっています。

スミッシング騙り対策のためのガイドラインの活用方法

SMSは、携帯電話の基本機能として全ての携帯電話が機能を備えており、電話番号で送受信が可能なこと、スマホ画面にポップアップして開封率が高いと言われていることなどの利便性から、その利用が拡大しています。こうした利便性によるSMSの利用拡大に伴い、SMSによるスミッシングも社会的な課題となっており、総務省の不適切利用対策に関するワーキンググループでも、この問題が主要なテーマの一つとして取り上げられています[2]

スミッシングの課題として、自組織がSMSを通信手段として利用していない場合や、限定的な利用範囲にとどめている場合でも、自組織を騙るスミッシングが発生することが上げられます。その結果、自組織に関連するお客様の個人情報が不正に詐取され、自組織に対するブランドが損なわれるという問題が生じています。

こうした課題に対応するため、自組織を騙るスミッシングへの対処という観点から、本ガイドラインの活用法を検討します。前節で述べたように、本ガイドラインはWebサイト運営者を対象としているため、スミッシングにフォーカスして利用するためには、ガイドラインの要件から、スミッシングに関連するものを選択し、活用しやすいように分類することが必要となります。
分類の観点として、「予防・検知・対処」という時間軸と、「自組織で対処・他組織への依頼・利用者の啓発」という実施主体の軸の2つを用います。

【Step.1 】22個の要件からスミッシング関連を選択

各要件の対象がEmail/SMS/Webのどれに対応するものかを判断して、SMSに対する要件を選択します。複数の対象に紐づく要件もあります。要件の規定文だけでなく、ガイドラインの説明も参考にしながら選択を行います。
この結果、22個の中から10個がSMS関連です。

表2 要件のEmail/SMS/Webの適用先

【Step.2】 関連する要件を「予防・検知・対処」と「社内・社外・利用者」の対応付け

スミッシング対策に必要な10個の要件に対して、各要件が適用されるフェーズが予防・検知・対処のどこにあたるのか、また要件が規定する対処を自組織で完結して行うか、他組織との協力が必要か、利用者への働きかけを行うか、の2つの観点から分類します

表3 要件の分類

表3を縦軸に「予防・検知・対処」、横軸に「自組織・他組織・利用者」で並び替えたものが表4です。カッコの数字は、要件番号を示しています。

表4 要件の分類(2)

自組織を騙ったスミッシングへの対策を、この表を利用して行う方法として以下のような使い方が考えられます。

  1. 自組織のスミッシング対応状況の評価
    予防・検知・対処の各ステップで要件を満たす対策ができているかをチェックします。要件の評価の際は、ガイドラインの要件の記載が必ずしもスミッシングに特化したものではないため、要件をスミッシング対策に当てはめた場合の条件を策定します。

  2. スミッシング対応計画の策定
    要件に対して自組織の対応が不足している項目がある場合は、対策を行わない場合のリスクを評価し、対策実施の必要性と対策内容を検討します。対策は、自組織で完結する場合と、他の組織が対応するための対策があります。後者の例として、自組織が正規に発信するSMSの条件を公開することで、通信事業者が不正SMSのブロックを行う際に、正規SMSと不正SMSの判別のために参照できることが挙げあります。

  3. 対策実施効果の測定
    自組織が実施した対策の効果測定にも表が活用できます。2で対策を行う場合のリスク削減を想定したので、実施後に想定通りにリスクが削減できているかを評価します。
    要件は汎用的な記載となっているので、要件に基づきスミッシング対策を行う際には、具体化や詳細化を行うことで、自組織ですべきことへの落とし込みを行うことができます。

終わりに

フィッシング対策ガイドライン2024年度版が更新されたことを機会に、ガイドラインの概要説明と、スミッシングにフォーカスして利用する場合の考え方をご紹介しました。ガイドラインは、メンバの方々の経験が詰まってできたもので、様々な方法で活用することで、フィッシング・スミッシングの被害削減につなげていきたいと思っています。

参考

[1] https://www.antiphishing.jp/report/guideline/antiphishing_guideline2024.html
[2] https://www.soumu.go.jp/main_content/000930521.pdf

スミッシング コンサルティング詳細はこちら
お問い合わせはこちら