フィッシング問題への取組に関する意見

2020年12月3日
消費者委員会

フィッシング問題への取組に関する意見

第1 背景

金融機関やECサイト等、一般消費者の認知度の高い企業やブランドを装った電子メールやSMS1(以下「フィッシングメール」という。)を送り、ログインID、パスワード、口座番号、クレジットカード番号等の個人情報を詐取する行為(以下、「フィッシング」という。)及びこれに起因すると思われるインターネットバンキングに係る不正送金事犯(以下、合わせて「本件問題」という。)が増加している。

具体的には、フィッシング対策協議会2が公表している情報3(別紙1)によれば、フィッシング報告4件数5は、令和2年4月時点で一月当たり1万件を超え、その半年後の同年10月時点で一月当たり約3万件にまで急増している。

PIO-NET6におけるフィッシング7に関連すると思われる相談件数8(別紙2)についても同様に、急増傾向にあるものと見受けられる。

また、警察庁の情報9(別紙3)によれば、インターネットバンキングに係る不正送金事犯の発生件数についても、令和元年9月から急増し、令和元年は前年の約6倍の1,872件、令和2年上半期だけでも885件となっている。その被害の多くはSMSや電子メールを用いて金融機関を装ったフィッシングサイトへ誘導する手口によるものと考えられている。

このような急増傾向について、消費者委員会としては、消費者の安全・安心を守る観点から、本件問題に係る関係行政機関における取組を一層促進する必要があると考え、早急に取り組むべき事項として、警察庁、総務省、経済産業省及び消費者庁に対して、下記第2のとおり意見を述べる。

なお、消費者委員会としても、今後の状況を注視し、必要に応じ更に調査審議を行うこととする。

第2 意見

警察庁、総務省、経済産業省及び消費者庁は、本件問題に関して、下記取組を行うべきである。

1 フィッシングメールの受信防止対策の普及促進及び効果検証

(1)フィッシングメールの受信防止対策の普及促進

総務省は、関係行政機関と連携しつつ、フィッシング対策にも有効な技術的対策(以下「本件技術的対策」という。)を普及、促進及び啓発すること。特に、当該対策の一つである下記技術を重点的に普及、促進及び啓発すること。

ア 送信ドメイン認証技術の普及促進

関係事業者等における送信側及び受信側双方に係る送信ドメイン認証技術10(SPF11、DKIM12及びDMARC13)の導入を普及促進すること。当該技術のうち特に、DMARCの普及率が伸びない原因及び当該原因を踏まえた改善策等を調査検討し、同普及率を伸ばすように努めること。

イ 迷惑メールフィルターの啓発強化

消費者に対する迷惑メールフィルター14に係る啓発を強化すること。

当該普及啓発に当たっては、若年層から高齢者までのあらゆる消費者が、当該機能及び効果(長所だけでなく短所15も含む。)を理解し、これらを総合的に勘案した上で適切に当該機能を設定ないし選択できるように、サービスプロバイダー等の関係事業者等による消費者への適時適切な情報提供等を促すこと。

(2)フィッシングメールの受信防止対策の効果検証

総務省は、関係行政機関と連携しつつ、送信ドメイン認証技術や迷惑メールフィルター等、本件技術的対策の効果検証を適時適切に行い、当該結果を踏まえ、必要に応じてその普及促進方法や本件技術的対策等を改善すること。

2 不正アクセス禁止法等に基づく取締りの強化

警察庁は、フィッシングの禁止に係る規定等を含む不正アクセス行為の禁止等に関する法律(平成11年法律第128号)違反、インターネットバンキングに係る不正送金事犯等の取締りを強化すること。

3 消費者への注意喚起の一層の強化

警察庁、総務省、経済産業省及び消費者庁は、各々及び必要に応じて連携して、以下の取組を行うこと。

(1)消費者に対する注意喚起の強化

常に変化していくフィッシングの手口の傾向等について、消費者に対して迅速に情報提供し、注意喚起を強化すること。

(2)消費者側の対策に係る周知啓発の強化

消費者側において講じるべき対策の周知啓発を強化すること。特に、当該対策として、例えば以下の点が基本的かつ重要であることが個々の消費者に伝わるように、周知啓発の方法を更に工夫すること。

①不審なメールは開封しないこと。
②不審なメールに記載されているURLやリンクはクリックせずに、公式アプリやブックマーク等からアクセスすること。
③メールに記載されているURLやリンクからアクセスしたサイト上でIDやパスワード等の入力が求められ、少しでも不審に感じた場合は、絶対に入力しないこと。
④フィッシングの被害に遭った場合は、直ちに銀行やクレジットカード会社等に連絡し、必要な手続を行うこと。また、消費者ホットライン「188」、警察相談電話「♯9110」、最寄りの警察署、サイバー犯罪相談窓口等に、相談、通報すること。

なお、上記第2の3(2)④を周知啓発するに当たっては、消費者が相談し得る窓口等が複数にわたる現状を踏まえ、消費者が第一次的にどこに相談すればよいのかを直ちに判断し得るようにするための方策等を検討することが望ましい。

(3)注意喚起及び周知啓発の効果検証

上記第2の3(1)の注意喚起及び同(2)の周知啓発の取組につき、適時適切に効果検証を行い、当該結果を踏まえ、必要に応じてその方法等を改善すること。

4 関係行政機関の連携強化

上記第2の3のほか、警察庁、総務省、経済産業省及び消費者庁は、関係機関や民間団体等とも緊密に連携しつつ、本件問題に係る情報共有を強化し、より一層連携して取組を推進すること。

以上

  1. Short Message Service。携帯電話の電話番号を用いたメッセージ送信。
  2. フィッシングに関する情報収集・提供、動向分析、技術・制度的対応の検討を主たる活動とした民間組織。2005年設立。(https://www.antiphishing.jp/)
  3. 「2020/10 フィッシング報告状況(月次報告書)」(https://www.antiphishing.jp/report/monthly/202010.html)
  4. 当該報告のうち約98パーセントは一般(ユーザー)からの報告であり、その他は警察、被害ブランド組織等からの報告・相談とされている。
  5. 当該件数は、フィッシングメールを受信したにとどまり、未だフィッシングに遭っていないケースも含まれる。
  6. PIO-NET(全国消費生活情報ネットワークシステム)とは、独立行政法人国民生活センターと全国の消費生活センターをネットワークで結び、消費者から消費生活センターに寄せられる消費生活に関する苦情相談情報(消費生活相談情報)の収集を行っているシステムのことである。
  7. ここでいう「フィッシング」には、例えばポップアップ画面の表示による等、フィッシングメールを送付する方法以外も含まれる。
  8. 当該相談件数は、2010年度以降受付、2020年11月17日までの登録分のうち、相談内容等に「フィッシング」という文言を含む事例を消費者委員会が独自に集計した結果である。なお、消費生活センターからの経由相談は含まない。
  9. 令和2年11月5日開催第330回消費者委員会本会議資料2「サイバー犯罪の情勢と警察の取組―フィッシング対策を中心として―」(警察庁生活安全局情報技術犯罪対策課)2頁参照。
  10. 受信側が、電子メールを送信した側のドメイン名の正当性(送信者になりすましているか否か)を確認することができる技術で、送信側での設定と受信側での検証とにより対応するもの。
  11. SPF(Sender Policy Framework)。送信メールサーバーのIPアドレスを元に認証する技術。
  12. DKIM(DomainKeys Identified Mail)。送信メールサーバーで作成した電子署名を元に認証する技術。
  13. DMARC(Domain-based Message Authentication, Reporting & Conformance)。SPF・DKIMの認証結果を元にして、認証に失敗した電子メールの取扱い(①何もしない、②隔離する、③受信拒否する)を正規の送信側で指定することを可能とする等、SPF、DKIM双方の長所を生かした認証ができる技術。
  14. 送信者情報や電子メールの内容、送信側のIPアドレスやドメイン名等から、迷惑メールか否かの判断をする機能。
  15. 例えば、迷惑メールフィルターを強化しすぎた場合、迷惑メールでない正規のメールをも受信拒否等されるリスクがあること等。