JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > ラーニング > 技術メモ > フィッシングに関するFAQ > オンラインサービスを利用する一般ユーザ向け

最終更新: 2007-09-13

フィッシングに関するFAQ


オンラインサービスを利用する一般ユーザ向け

Q1 フィッシング(phishing)とは何ですか?
A

フィッシングとは、あなたを銀行やオークションなどのオンラインサービスを装った Web サイトへ誘導し、あなたの口座番号、暗証番号、個人情報などの重要な情報を盗み取ろうとする行為です。

金融機関やオンラインショッピング事業者などのオンラインサービス提供者を装ったメール (フィッシングメール) を送信し、あなたを偽サイト (フィッシングサイト) に誘導して、サイトのフォームに情報を入力させて情報を盗み取る、という手順で行われるのが一般的です。

Topへ

Q2 フィッシングとは、どのように危険なのですか?
A フィッシングサイトにて口座番号、暗証番号、個人情報などを入力してしまうと、その情報を盗まれて以下のような被害を受けてしまいます。
  1. 口座から現金が引き出されるなどの経済的損失
  2. アカウント情報を不正に使用されることによる、プライバシーの侵害
そのため、フィッシングサイトに重要な情報を入力してしまわないようにする必要があります。(Q3 参照)

Topへ

Q3 フィッシングサイトに重要な情報を入力してしまわないようにするためには、どうすればよいですか?
A

対策として最も有効な方法は、フィッシングサイトやフィッシングメールを見抜くことです。しかし、巧妙に作成されたフィッシングメールやフィッシングサイトを正確に見抜くことは困難です。そのため、安全であることが確認できないサイトでは情報を入力しないという対策を行うことを推奨します。

Web サイトで暗証番号やクレジットカード番号などを入力する場合には、入力前に以下の手順で Web サイトが安全であることを確認してください。もしどちらか片方でも確認できなかった場合には、情報の入力を中止してください。
  1. Web サイトのドメイン名が正しいことを必ずご確認ください。初めて使用するオンラインサービスの場合は、契約時に取り交わした書類などを用いてドメイン名をご確認ください。
    1. ドメイン名とは、URL の「http(s)://」と、その右に出てくる最初の「/」に囲まれた文字列を指します。
  2. Web ブラウザの右下に鍵マークがあることをご確認ください。

なお、入力画面にアクセスした際に、ブラウザが「セキュリティ証明書には問題があります」などのセキュリティ警告画面を表示した場合には、その Web サイトからすぐに立ち去ってください。

また、電子メールは送信者を偽ることが容易です。そのため、送信者がオンラインサービス提供者のように見えても、オンラインサービス提供者が送信したメールであるとは限りません。どのような場合でも、送信者情報を入力する Web サイトで上記の確認を怠らないようにしてください。

Topへ

Q4 フィッシングサイトに重要な情報を入力してしまったのですが、どうすればよいですか?
A 速やかに、入力してしまった暗証番号の変更や、キャッシュカード、クレジットカードの使用を中止する手続きを行い、フィッシング 110 番に掲載されている都道府県警察のサイバー犯罪相談窓口にご相談ください。

Topへ

Q5 JPCERT/CC はフィッシングに対してどのような活動を行っているのですか?
A

JPCERT/CC では、フィッシングサイトに関するインシデント報告に対して、関係者とのコーディネーション、およびフィッシングの対応に関する技術的側面からの助言を行っています。

一般的なコーディネーションの手順は以下のとおりです。
  1. 報告された情報を元に、当該フィッシングサイトが稼働していることを確認する。
  2. 当該フィッシングサイトの IP アドレスの管理者 (通常はインターネットサービスプロバイダやホスティング事業者等) に、フィッシングサイトに関する調査と対応をお願いする。
  3. フィッシングサイトの閉鎖を確認した後、JPCERT/CC は報告者に対してフィッシングサイト閉鎖の旨を連絡する。
フィッシングサイトを発見した際には、JPCERT/CC にインシデントの報告をお願いします。(Q6 参照)

Topへ

Q6 フィッシングサイトを発見したのですが、どうすればよいですか?
A

ドメイン名が違う、利用していないサービスからパスワード変更のメールが届いたなどの理由から、フィッシングサイトを発見した場合には、JPCERT/CC にインシデントのご報告をお願いします。 JPCERT/CC が関係者とのコーディネーションを行います。

JPCERT/CC にご報告を行う際には、下記 URL を参照の上、info@jpcert.or.jp にお送りください。

Topへ

CSIRTマテリアル
パスワードリスト攻撃による不正ログイン防止
JPCERT/CCって何をやっているのですか?
Follow jpcert on Twitter
blog_banner_english