■開催概要
テーマ：「フィッシング攻撃に翻弄されない！DMARCと併せて強化するセキュリティ対策ウェビナー」
開催日時：2023年7月27日（木）14:00～15:00
会場：オンライン

■セミナー概要
１．フィッシング攻撃とは
　‐フィッシング被害の影響
　‐増加要因　
　‐攻撃のターゲット

２．フィッシング対策の2つの手法
　２-１：DMARC導入によるなりすましメール対策
　- SPF/DKIM/DMARCの3つの送信ドメイン認証の違い
　- DMARCポリシーとは
　- DMARCレポートの活用と課題

　２-２：多面歴・重層的なフィッシング対策　
　‐「フィッシング対策ガイドライン」の解説    
　‐フィッシング対策パッケージ「フィッシングPACK for フィッシング」とは

■セミナー内容
１．フィッシング攻撃とは

　セミナーでは、フィッシング攻撃とはどういったものかの解説、フィッシング攻撃の影響として、2022年度だけで個人情報漏洩は165件の592万人分、不正送金は1,136件の15億円、クレジットカード不正は411億円というデータとともに、その多くがフィッシング起因によるものと紹介されました。さらに、フィッシング報告件数としは、2017年から2022年までに約100倍に増加していることが明らかになりました。

　増加要因として、新型コロナウイルス感染症の拡大による買い物のオンライン化とテレワーク推進の急速な進展が挙げられました。これにより、従来オンラインに馴染みの少なかった人々がオンラインに移行し、フィッシング攻撃の被害に遭遇するケースが増えました。また、翻訳機能の高度化により、フィッシングメールがより巧妙になったことも一因とされました。特にEコマース、通信事業者、クレジットカード会社が主要な攻撃のターゲットとして紹介されました。

２.フィッシング攻撃の対策としての2つの手法
2023年2月に経済産業省、警察庁及び総務省がクレジットカード会社等に要請したフィッシング対策の強化の内容に、なりすましメール対策とその他のフィッシング対策という2軸が記載されています。対策として2つの手法が紹介されました。
 
２-１：DMARC導入によるなりすましメール対策
　まず、DMARC導入によるなりすましメール対策では、SPF/DKIM/DMARCの3つの送信ドメイン認証について、それぞれのメリット、デメリットを交え特徴の説明がありました。

【送信ドメイン認証の種類】

　なかでも、最も有効な手法はDMARCで、理由としては送信元の正当性とメール内容の正当性の両面で認証していること、さらにDMARCポリシーとして、認証失敗時に受信者がメールの扱いをNone、Quarantine、Rejectに設定することの利点が述べられました。

【DMARCを導入すべき理由】

【DMARCポリシー】

　さらに、DMARCレポートの活用により、ドメイン所有者がメールの認証結果に関する情報を受信者から得られるという利点も述べられました。しかし、レポートがシステム部門の方以外には見慣れない形式であること、また、送信元のIPアドレス毎に送られるため、企業によっては1日に数十〜百以上のレポートを確認する必要があることから対応が煩雑であることが、課題として指摘されました。

【DMARCレポート】

２-２：多面歴・重層的なフィッシング対策
　「フィッシング対策ガイドライン」では、対策すべき29の要件と特に重要とされる「フィッシング対策ガイドライン重要5 項目」が示されており、それぞれに対応した対策を行うことが重要であることが説明されました。

　これら全てを自社構築で賄うには手間と大きなコストがかかること、さらに現状では、フィッシングメールやフィッシングサイトの監視サービスなど、個別に対策サービスが存在するものの、ワンストップで対策できるサービスは少ない状況で、これらの課題を解消するフィッシング対策パッケージとして、かっこが提供する「鉄壁PACK for フィッシング」について紹介されました。

サービス詳細: https://frauddetection.cacco.co.jp/o-motion/teppei-pack/forphishing/

　「鉄壁PACK for フィッシング」は、網羅的、効果的なフィッシング対策が可能で、フィッシングメール対策支援、フィッシングドメイン検知、なりすましログイン検知の3つで構成されおり、さらにオプションサービスとしてサイバーセキュリティ支援、フィッシングサイトテイクダウン代行、フィッシングサイト監視、フィッシングSNS監視、複数要素認証、クレカ不正利用、悪質転売、クレジットマスター検知が紹介されました。「鉄壁PACK for フィッシング」の5つの特徴についても解説がありました。

　「鉄壁PACK for フィッシング」は、フィッシング攻撃に対してあらゆるフェーズで効果的な対策を提供していることが示されました。一般的なフィッシング攻撃の流れは、フィッシングメールの受信またはマルウェア感染、フィッシングサイトへのアクセスにより重要情報などが詐取され、その情報を利用したなりすましや不正アクセスが行われるというものです。これらのフェーズに合わせて、フィッシングメールの対策支援、フィッシングドメインの検知、そしてなりすましログインの対策を提供していると説明がありました。

　さいごに、フィッシング対策ガイドラインに示されている「Webサイト運営者が考慮すべき要件」の説明と、「鉄壁PACK for フィッシング」がシステム対応を要する要件の大半をカバーできていることの解説がありました。
　かっこは今後も、「鉄壁PACK for フィッシング」をはじめとしたセキュリティサービスを提供することで、フィッシングによる個人情報漏えい等の防止を支援し、安心・安全なオンライン取引・ネット通販の環境づくりに貢献してまいります。

■かっこ株式会社について　
　かっこは、「未来のゲームチェンジャーの『まずやってみよう』をカタチに」という経営ビジョンを掲げ、当社の有するセキュリティ・ペイメント・データサイエンスの技術とノウハウをもとに、アルゴリズム及びソフトウエアを開発・提供することで、企業の課題解決やチャレンジを支援することを目指しております。特に、オンライン取引における「不正検知サービス」を中核サービスとして位置づけ、不正注文検知サービス「O-PLUX（オープラックス）」、不正アクセス検知サービス「O-MOTION（オーモーション）」を提供しております。

会社概要
かっこ株式会社
住所 ： 東京都港区元赤坂一丁目5番31号
代表者 ： 代表取締役社長CEO　岩井　裕之
設立 ： 2011年1月28日
URL ： https://cacco.co.jp/
事業内容 ： SaaS型アルゴリズム提供事業
              （不正検知サービス、決済コンサルティングサービス、データサイエンスサービス）
関連サイト ：
不正検知メディア「不正検知Labフセラボ」 ：  https://frauddetection.cacco.co.jp/media/
データサイエンスぶろぐ ：  https://cacco.co.jp/datascience/blog/
採用情報 ： https://cacco.co.jp/recruitment/index.html