今回の解説ニュース

ニュース解説

今回の注意喚起は、労働金庫・全国労働金庫協会を装った不審メールに関するものです。内容として、メールやSMSで、個人情報やパスワードの入力を求めるものであるということです。対策として、不審メールやメッセージに記載されたリンクをクリックしないよう注意を呼びかけています。

不審メールと間違われないための方法

不審メールと間違われないための方法として、DMARCなどの設定を正しく行うことが必要です。

DMARCとは

改めて、DMARCとは、メールのなりすましを防ぐための仕組みです。ある組織のドメイン名を使ってメールを送信するなりすましメールを検出して、受信側のメールサーバーにどのように処理するか指示を出すことで、なりすましメール対策を行います。

DMARCの主な役割

DMARCの主な役割として、メールが本当にそのドメインから送信されたものかどうかを検証します。もし、認証に失敗してメールをなりすましメールと判断した場合は、受信側のメールサーバーに適切な処理を指示します。よって、DMARCを正しく設定していないと、受信側のメールサーバで不審メールと判断されて、メールがフィルタされてしまう可能性があります。

2023年Googleが「新しいメール送信者のガイドライン」発表

2023年にGoogleが発表した「新しいメール送信者のガイドライン」では、Gmailでメールを送信する場合、SPFとDKIMの両方の設定が推奨されています。DMARCは、SPFとDKIMの結果に基づいて動作するため、実質的にDMARCに準拠していないと、Gmailでメールが適切に受信されない可能性があります。

自社のフィッシングサイトが構築されてしまった場合の対応

自社のフィッシングサイトが構築されてしまった場合の対応として、フィッシングサイトに関する情報を収集した上で、関係組織への連絡を行い、顧客へも通知することが必要です。

まず、フィッシングサイトのURLを特定し、可能な限りスクリーンショットやアーカイブを取得します。サイトのコンテンツ、特に自社のロゴや商標などが使われていれば、詳細に記録します。

そして、フィッシングサイトが構築されているプロバイダーやドメインレジストラへ連絡します。プロバイダには、証拠となる情報を提供し、フィッシングサイトの削除を要求します。ドメインレジストラには、ドメインの所有権に関する調査を依頼して、偽装されたドメインであれば、登録情報の変更やドメインの凍結を要求します。また、弁護士に相談して、法的措置の可能性や、損害賠償請求などの手続きについてアドバイスを求めることも有効です。

並行して、フィッシングサイトの存在を顧客に通知し、注意喚起を行います。公式Webサイトやメール、SNSなどを通じて、フィッシングサイトのURLや特徴、対処方法などを周知しましょう。