金融機関やネット関連企業などで構成するフィッシング対策協議会(山口英会長)は2013年6月17日、「フィッシング対策ガイドライン2013年度版」を公表した。協議会のWebサイトで誰でも閲覧できる。ネットバンキングサービスなどをかたった電子メールや偽Webサイトを使って個人情報を詐取する「フィッシング詐欺」の手口が巧妙化していることを踏まえ、金融機関などの事業者や、一般の利用者が守るべき「要件」を合計55項目定義した。
今回の改定で、一般利用者向けには3要件を新たに定義した。「正しいURLを確認する(要件43)」では、ネットサービスの初回利用時は利用者カードや請求書などでURLを確認し、直接入力することが望ましいとした。「錠前マークを確認する(要件45)」では、Webブラウザーでパスワードなどを入力する前に、「正しいURLにアクセスしているか」に加えて、「(暗号化通信が有効であることを示す)錠前マークが表示されているか」も確認することが望ましいとしている。
さらに「PCの利用には標準ユーザーアカウントを利用し、ユーザーアカウント制御機能を活用すること(要件51)」では、パソコンにログインする際に「システム管理者アカウント」(Administratorなど)を使うのではなく、パソコンに対する変更が制限されるためにセキュリティ水準を保ちやすい一般ユーザーアカウントを使うことを推奨している。
事業者向けのガイドラインでは「事業者におけるNG集」を追加し、金融機関やネットサービス提供企業が「やってはいけないこと」を分かりやすく例示した。この中で、利用者からフィッシング詐欺の疑いに関する通報があった時の対応方法が未整備である場合は、「対応の遅れや間違った対応により被害を拡大させてしまう可能性がある」とした。「利用者に送信するメールの様式がバラバラ」であると利用者が詐欺メールか本物のメールかを区別しにくくなるため、「(メールの様式は)極力統一し、日頃から利用者に本物と偽物の判別を付きやすくする環境を整備する」ことを推奨している。
