～ フィッシング詐欺による認証情報の窃取とドメインの乗っ取り ～ フィッシング詐欺とドメインのなりすまし これまでもフィッシング詐欺に関する BLOG を公開しており、直近では QR フィッシング について解説していますように、実在する企業・組織名をかたるフィッシング詐欺が増加しています。フィッシング対策協議会が 2024 年 1 月 15 日に公開した 2023/12 フィッシング報告状況 では、2023 年 10 月に比べて報告件数は減少しているものの、「調査用メールアドレス宛に 12 月に届いたフィッシングメールのうち、約 50.2 % が実在するサービスのメールアドレス ( ドメイン ) を使用した「なりすまし」フィッシングメールであり、11 月よりも増加傾向となりました。」とレポートしています。また、フィッシング対策協議会は、フィッシング以外では、ドメイン登録期限切れ後に元のドメ

2018年9月頃から第三者に汎用JPドメインがのっとられるドメイン名ハイジャックの事例が相次ぎ、これらは不正なドメイン移管手続きにより発生した疑いがあります。ここでは関連する情報をまとめます。 不正移管の手口 のっとり犯が自身が利用するレジストラを通じて他人が所有するドメインの移管申請を行う。 次のいずれか該当する場合に（一時的に）ドメイン移管申請が行われてしまう恐れがある。 指定事業者が承認確認（不承認含む）を行わない（放置する） 登録者または指定事業者がのっとり犯が行った移管申請を誤って承認してしまう 汎用JPが狙われているのは自動承認ルールを悪用しているためとみられる 移管元指定事業者から承認、または不承認が10日以内に確認取れない場合、自動承認となる。 「汎用JPドメイン名登録申請等の取次に関する規則」第11条第2項に則ったものとされる。 第11条（取次にかかる登録申請等に対する決

NIST サイバーセキュリティ・フレームワーク（CSF）2.0は、組織がサイバーセキュリティプログラムを開始または改善する際に利用できるフレームワークです。このフレームワークは、サイバーセキュリティリスクを管理し、削減するために具体的な成果を達成する手助けをします。それには、統治、識別、保護、検知、対応、回復の6つの機能が含まれており、それぞれの機能に対する詳細なガイダンスが提供されています。また、CSFコア、組織プロファイル、ティアの3つの主要コンポーネントから構成され、組織の現在及び目標のサイバーセキュリティ態勢を評価する枠組みとして機能します。このフレームワークとNISTの補足リソースを組み合わせることで、組織はリスクを理解、評価、優先順位付け、伝達するための包括的なアプローチを実施できます。 NIST Cybersecurity Framework CSF 2.0 主要コンポーネン