個人情報漏えいはメールの受信ミス（不正メールの開封）がきっかけです。

企業は、メールセキュリティ製品や大手クラウドメールサービスは DMARCをすぐに利用しましょう。

なりすまし送信によるフィッシングやマルウェア攻撃への対策の一つとして、送受信ともに DMARC 正式運用 (ポリシーを reject または quarantine に設定し、受信時はポリシーに従ってメールを排除) に移行することを検討してください。

(DMARC ：電子メール認証プロトコルの一つで電子メールのドメイン所有者が、保有するドメインを認証を通さずに利用されることを防止できることを目的に設計されている)

送信ドメイン認証を運用中の注意事項としては、メール配信サービスを追加したり、ネットワーク設備を統廃合するうちに、いつのまにか DNS に登録されている設定値が不適切になっているなど、正常に機能していないケースが時々見られます。特に多いのは SPF のエラーです。SPF は DNS Lookup が 10 回という制限があり、メール配信にさまざまな外部サービスを使っている場合、SPF レコードに include 等を追加していった結果、この制限値を超えて SPF がエラーとなるケースがよく発生します。また include 先が無くなった場合にもエラーとなります。 SPF を設定している場合は正常に機能しているか、DNS への登録値が適切であるか、定期的にチェックサイトで確認したり、監視を行ってください。

利用者のみなさまへ

大量のフィッシングメールが届いている場合は、そのメールアドレスが漏えいしています。対策はそのメールアドレスの使用を直ちに中止し、フィッシング対策機能が強化されているメールサービスにメールアドレスを作成し切り変える以外ありません。そう割り切ってください。

また、フィッシングサイト経由などで漏えいした携帯電話番号や個人情報をもとに、さまざまなサービスへログインしようとしたり、キャリア決済やキャッシュレス決済サービスを不正利用するケースが報告されています。

身に覚えがない

身に覚えがないタイミングで認証コード通知 SMS などが届いた時は、パスワード変更したり、決済サービスの使用履歴などを確認してください。

普段からログインを促すようなメールや SMS を受信した際は、正規のアプリやブックマークした正規の URL からサービスへログインして情報を確認し、クレジットカード情報や携帯電話番号、認証コード、口座情報、ワンタイムパスワード等の入力を要求された場合は、入力する前に一度立ち止まり、本当に必要な手続きなのか、その入力先サイトが本物かを確認してください。特に初めて利用するサイトの場合は、運営者情報や問い合わせ先などを確認し、似たようなフィッシングや詐欺事例等がないか、確認してください。

※ここに記された内容から自社のアクションが起こせない場合は、専門家に聞いてください。そのまま放置すると漏えい事故につながります。