「フィッシング攻撃に翻弄されない！DMARCと併せて強化するセキュリティ対策ウェビナー」セミナーレポート

• 開催概要

テーマ：「フィッシング攻撃に翻弄されない！DMARCと併せて強化するセキュリティ対策ウェビナー」

開催日時：2023年7月27日（木）14:00～15:00

会場：オンライン

• セミナー概要

１．フィッシング攻撃とは

　‐フィッシング被害の影響

　‐増加要因

　‐攻撃のターゲット

２．フィッシング対策の2つの手法

２-１：DMARC導入によるなりすましメール対策

　- SPF/DKIM/DMARCの3つの送信ドメイン認証の違い

　- DMARCポリシーとは

　- DMARCレポートの活用と課題

２-２：多面歴・重層的なフィッシング対策

            　‐「フィッシング対策ガイドライン」の解説       

            　‐フィッシング対策パッケージ「フィッシングPACK for フィッシング」とは

• セミナー内容

１．フィッシング攻撃とは

 2.   フィッシング攻撃の対策としての2つの手法

　　2023年2月に経済産業省、警察庁及び総務省がクレジットカード会社等に要請したフィッシング対策の強化の内容に、なりすましメール対策とその他のフィッシング対策という2軸が記載されています。対策として2つの手法が紹介されました。

　２-１：DMARC導入によるなりすましメール対策

　まず、DMARC導入によるなりすましメール対策では、SPF/DKIM/DMARCの3つの送信ドメイン認証について、それぞれのメリット、デメリットを交え特徴の説明がありました。

 
【送信ドメイン認証の種類】

　なかでも、最も有効な手法はDMARCで、理由としては送信元の正当性とメール内容の正当性の両面で認証していること、さらにDMARCポリシーとして、認証失敗時に受信者がメールの扱いをNone、Quarantine、Rejectに設定することの利点が述べられました。

【DMARCを導入すべき理由】

【DMARCポリシー】

　さらに、DMARCレポートの活用により、ドメイン所有者がメールの認証結果に関する情報を受信者から得られるという利点も述べられました。しかし、レポートがシステム部門の方以外には見慣れない形式であること、また、送信元のIPアドレス毎に送られるため、企業によっては1日に数十〜百以上のレポートを確認する必要があることから対応が煩雑であることが、課題として指摘されました。

【DMARCレポート】

２-２：多面歴・重層的なフィッシング対策

　「フィッシング対策ガイドライン」では、対策すべき29の要件と特に重要とされる「フィッシング対策ガイドライン重要5 項目」が示されており、それぞれに対応した対策を行うことが重要であることが説明されました。

対策すべき29の要件と特に重要とされる「フィッシング対策ガイドライン重要5 項目」が示されており、それぞれに対応した対策を行うことが重要であることが説明されました。

　これら全てを自社構築で賄うには手間と大きなコストがかかること、さらに現状では、フィッシングメールやフィッシングサイトの監視サービスなど、個別に対策サービスが存在するものの、ワンストップで対策できるサービスは少ない状況で、これらの課題を解消するフィッシング対策パッケージとして、かっこが提供する「鉄壁PACK for フィッシング」について紹介されました。

サービス詳細: https://frauddetection.cacco.co.jp/o-motion/teppei-pack/forphishing/

　「鉄壁PACK for フィッシング」は、網羅的、効果的なフィッシング対策が可能で、フィッシングメール対策支援、フィッシングドメイン検知、なりすましログイン検知の3つで構成されおり、さらにオプションサービスとしてサイバーセキュリティ支援、フィッシングサイトテイクダウン代行、フィッシングサイト監視、フィッシングSNS監視、複数要素認証、クレカ不正利用、悪質転売、クレジットマスター検知が紹介されました。「鉄壁PACK for フィッシング」の5つの特徴についても解説がありました。

　「鉄壁PACK for フィッシング」は、フィッシング攻撃に対してあらゆるフェーズで効果的な対策を提供していることが示されました。一般的なフィッシング攻撃の流れは、フィッシングメールの受信またはマルウェア感染、フィッシングサイトへのアクセスにより重要情報などが詐取され、その情報を利用したなりすましや不正アクセスが行われるというものです。これらのフェーズに合わせて、フィッシングメールの対策支援、フィッシングドメインの検知、そしてなりすましログインの対策を提供していると説明がありました。

　さいごに、フィッシング対策ガイドラインに示されている「Webサイト運営者が考慮すべき要件」の説明と、「鉄壁PACK for フィッシング」がシステム対応を要する要件の大半をカバーできていることの解説がありました。

　かっこは今後も、「鉄壁PACK for フィッシング」をはじめとしたセキュリティサービスを提供することで、フィッシングによる個人情報漏えい等の防止を支援し、安心・安全なオンライン取引・ネット通販の環境づくりに貢献してまいります。

■かっこ株式会社について

　かっこは、「未来のゲームチェンジャーの『まずやってみよう』をカタチに」という経営ビジョンを掲げ、当社の有するセキュリティ・ペイメント・データサイエンスの技術とノウハウをもとに、アルゴリズム及びソフトウエアを開発・提供することで、企業の課題解決やチャレンジを支援することを目指しております。特に、オンライン取引における「不正検知サービス」を中核サービスとして位置づけ、不正注文検知サービス「O-PLUX（オープラックス）」、不正アクセス検知サービス「O-MOTION（オーモーション）」を提供しております。