-----BEGIN PGP SIGNED MESSAGE----- 各位 JPCERT-AT-2007-0015 JPCERT/CC 2007-06-14(初版) 2007-06-19(更新) <<< JPCERT/CC Alert 2007-06-14 >>> ID やパスワードを聞き出そうとする電話に関する注意喚起 Fake Phone Calls Attempt to Steal ID and Password http://www.jpcert.or.jp/at/2007/at070015.txt I. 概要 ISP 事業者の委託業者を名乗り、電話にて ID やパスワードを詐取しようと する行為が行われているとの報告が JPCERT/CC にありました。 報告によると、委託業者を名乗る者が ISP のサービスに関するパソコンの 設定変更の案内 (OP25B の設定) を装い、サービス利用者の ID やパスワード を聞き出そうとします。サービス利用者が契約している ISP 名を会話の中で 特定しようとするとのことです。 このような電話に応じ、ID やパスワードを答えてしまわないよう、注意が 必要です。 * OP25B (Outbound Port 25 Blocking): ウイルスメールや迷惑メールへの対策の一環として ISP が導入している 仕組み。 II. 対策 [サービス利用者] 本件は「なりすまし」と呼ばれるソーシャルエンジニアリング手法を用いて います。ISP 関係者を名乗る電話で ID やパスワードの問い合わせがあっても、 回答しないようにしてください。 このような電話を受け ID やパスワードを伝えてしまった場合には、早急に パスワードを変更してください。また、ISP への連絡も検討してください。 [ISP 事業者] 顧客からの問合せに対応できるよう準備することをお勧めします。また、顧 客への注意喚起を検討してください。 III. 参考情報 JPCERT/CC REPORT ひとくちメモコンテンツ パスワードの取り扱いについて http://www.jpcert.or.jp/wr/keyword_c.html#108 総務省 社員・職員全般のための情報セキュリティ対策 ソーシャルエンジニアリングの対策 http://www.soumu.go.jp/joho_tsusin/security/business/work05.htm 独立行政法人 情報処理推進機構 国内におけるソーシャル・エンジニアリングの実態調査 (PDF) http://www.ipa.go.jp/security/fy11/report/contents/intrusion/socialeng/socialeng.pdf 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 __________ 改訂履歴 2007-06-14 初版 2007-06-19 誤字修正 ====================================================================== JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBRoN8L4x1ay4slNTtAQFQHwP/crK2TVtM1eytv2PcDx3h3C3BVrIepcGv 2JaVnV6M3+CK+0AK4jLrm9DrRJmp9+JRFqDUD6uFbHOT+Vy8+WFE7trFXvNJBrjq c4s6sdeYvRxCjqgc2oNZMq9bZJaNeMZpqUvUu9qCOWSPeGglaSxAFNkeQBsuO3Z4 y6c4ctdqhAs= =naUA -----END PGP SIGNATURE-----