ガイドラインの概要

フィッシング対策協議会が公開する「フィッシング対策ガイドライン」は、フィッシング詐欺の被害を防止するための対策を事業者(サービス提供者)と利用者(消費者)の双方に向けてまとめたガイドラインです。毎年改訂されており、2025年版が最新です。

フィッシング対策協議会への報告件数は年間100万件を超えており、手口の巧妙化が進んでいます。

  • SMSフィッシング(スミッシング):宅配業者や通信事業者を装ったSMSの急増
  • QRコードフィッシング(クイッシング):不正なQRコードによる偽サイトへの誘導
  • ブランドなりすまし:大手ECサイト、金融機関、行政機関を精巧に模倣したサイト
  • AI生成コンテンツ:AIを用いた自然な日本語のフィッシングメールの増加
  • リアルタイムフィッシング:MFAのワンタイムコードをリアルタイムで中継する攻撃

事業者向け対策

メール認証の実装

  • SPF(Sender Policy Framework):送信元IPアドレスの検証
  • DKIM(DomainKeys Identified Mail):メールの電子署名による改ざん検知
  • DMARC(Domain-based Message Authentication, Reporting and Conformance):SPF/DKIMの認証結果に基づくポリシー制御(reject推奨)
  • BIMI(Brand Indicators for Message Identification):認証済みメールにブランドロゴを表示

Webサイトの保護

  • 正規サイトのURLを利用者に周知し、偽サイトとの識別を容易にする
  • EV証明書またはOV証明書の使用により、サイトの信頼性を示す
  • フィッシングサイトのテイクダウン(閉鎖要求)の体制を整備

利用者向け対策

  • メールやSMSのリンクを安易にクリックしない。公式アプリやブックマークからアクセスする
  • URLを目視で確認する(ドメイン名の微妙な違いに注意)
  • 個人情報やパスワードの入力を求めるメールは疑う
  • フィッシング対応のMFA(FIDO2セキュリティキー等)を利用する
  • 不審なメールを受信した場合は、フィッシング対策協議会に報告する

DMARC対応の重要性

DMARCは自社ドメインがフィッシングメールに悪用されることを防ぐ最も効果的な対策です。2023年10月にはGoogleとYahooが送信者向けのメール認証要件を強化し、DMARCの設定が大量メール送信者に必須となりました。

💡 DMARC設定のステップ

p=none(モニタリング)→ p=quarantine(隔離)→ p=reject(拒否)の順に段階的に強化するのが安全なアプローチです。詳しくはメールセキュリティ完全ガイドをご参照ください。

まとめ

フィッシング対策ガイドライン2025年版は、事業者にはSPF/DKIM/DMARCの実装、利用者にはリンクの安易なクリックを避けることを求めています。DMARC rejectの設定とフィッシング耐性のあるMFA(FIDO2)の導入が最も効果的な対策です。

参考リンク
IPA 情報セキュリティ ↗NISC ↗経産省 サイバーセキュリティ ↗
E

BTNコンサルティング 編集部

株式会社BTNコンサルティング|情シス365 運営

Microsoft 365・Google Workspace導入支援、IT-PMI(M&A後のIT統合)、セキュリティ対策を専門とするITコンサルティング企業。中小企業の「ひとり情シス」を支援し、ITの力で経営課題を解決します。