為了協助網站經營者與使用者防患未然,或是遭到網路侵駭時能儘量降低損害,日本「網路釣魚對策委員會」特別出版「網路釣魚對策指引」提供各界作為參考。
此本指引的內容,每年皆會根據最新的網路威脅與技術對策進行修訂,本次公開的為2021年最新版,其中提出的5大重點對策分別為:
- 對發送給使用者的電子郵件實施「釣魚郵件對策」,例如:導入「安全/多用途網際網路郵件擴充」(Secure Multipurpose Internet Mail Extensions,S/MIME),或是啟用「網域型郵件驗證、報告與一致性」(Domain-based Message Authentication, Reporting & Conformance,DMARC)等功能。
- 啟用多因子身分驗證(Multi-Factor Authentication,MFA),例如:登入時需要同時輸入一組亂數或一次性密碼、使用生物辨識技術等。
- 網站經營者應具備「域名即品牌」的認知,並反覆向網站使用者宣傳正確的域名。
- 所有網頁均須透過HTTPS(HyperText Transfer Protocol Secure)加密傳輸的方式存取資料,而SSL加密憑證又可分為:網域驗證(Domain Validation,DV)、組織驗證(Organization Validation,OV)及延伸驗證(Extended Validation,EV)等類型。
- 網站經營者應成立網路釣魚詐騙專責小組,必要時,應設置24小時服務窗口。
對於一般的網路使用者來說,「域名」是判斷網站安全性最重要的因素,網站經營者若能採取適當的措施,防止網路使用者遭到網路釣魚所害,不僅能夠提高自身的信用,也可以獲得使用者的信賴。
相關連結:
JPRS (2021). 「フィッシング対策ガイドライン(2021年度版)」が公開されました. JPRS.
檢自:https://jprs.co.jp/topics/2021/210604.html (Jun. 18, 2021)
フィッシング対策協議会 (2021). フィッシング対策ガイドライン 2021 年度版. フィッシング対策協議会. 檢自:https://www.antiphishing.jp/report/antiphishing_guideline_2021.pdf(Jun. 18, 2021)
