-----BEGIN PGP SIGNED MESSAGE-----

各位
                                                   JPCERT-AT-2007-0009
                                                             JPCERT/CC
                                                            2007-04-03

                  <<< JPCERT/CC Alert 2007-04-03 >>>

        国内金融機関を装ったフィッシングサイトに関する注意喚起

      Phishing frauds targeting Japanese financial institutions

             http://www.jpcert.or.jp/at/2007/at070009.txt

I. 概要

  JPCERT/CC では、最近 1ヶ月間に国内金融機関 (銀行や消費者金融など) の
フィッシングサイトが公開されているという報告を複数受理しております。こ
れらのフィッシングサイトは、海外に設置されたサーバで公開されているなど
の要因から、サイトの閉鎖までに時間がかかることがあります。金融機関から
送られてきたと思われるメールなどに記載された URL にアクセスする際には
注意してください。


II. 対策

  フィッシングサイトの閉鎖が必ずしも容易でないという状況においては、オ
ンラインサービスの利用者ひとりひとりが被害の予防に努める必要があります。
具体的な対策としては不審なメールは開かない、不審なサイトにはアクセスし
ない、不審なサイトには個人情報などのデータを入力しない、などが挙げられ
ます。

  また、サーバ等の管理者については、自身の管理するホストに侵入され、
フィッシングサイトとして使用されてしまわぬよう、セキュリティ対策の再確
認を行うことを推奨します。

  以下にまとめた、オンラインサービスの利用者とサーバ管理者向けの注意点
を参考にし、対策をご検討ください。

**********************************************************************
[オンラインサービスの利用者]

  オンラインバンキング等のサービスを利用している方は以下の点を
参考にし、一層の注意を払って下さい。

(1) 不審なメールには注意する
    送信されてきた不審なメールに掲載された URL などへは、不用意にアク
    セスしないようにしてください。悪意のあるサイトにアクセスするだけで
    スパイウェアやウイルスに感染する可能性があります。

(2) アクセスする Web サイトのドメイン名を確認する
    対象となる Web サイトのドメイン名が本当にその組織のものであるかを、
    確認してください。電話で問い合わせたり、利用者カードに印刷されてい
    るドメイン名と照合したりするなど、 Web 以外の手段でドメイン名の正
    当性を確認することが重要です。各種検索エンジンでのドメイン名の確認
    は、フィッシングサイトが検索結果の上位に表示される場合もあるため注
    意が必要です。

(3) 情報を入力する際には Web サイトの安全性を確認する
    フォームなどを使用して Web サイトに個人情報を入力する際には、その
    サイトが信頼できることを確認してください。詳しくは以下のウェブサイ
    トをご覧下さい。
    
    イラストでわかるセキュリティ
    安全であることが確認できない Web サイトにはアクセスしない
    http://www.jpcert.or.jp/magazine/security/illust/part1.html#07

**********************************************************************
[サーバ管理者]

  パスワード総当たり攻撃によってシステムへの侵入を許し、フィッシングサ
イトとして使用されるというケースが多数報告されています。以下の点につい
て再度ご確認ください。

    - パスワードが設定されていないユーザアカウントがないか
    - 脆弱なパスワードが設定されていないか
    - 不要になったユーザアカウントが残っていないか

  併せて、ユーザに対してパスワードの定期的な変更を促すこともお勧めしま
す。パスワード以外の認証方式の導入も有効です。

    イラストでわかるセキュリティ
    「良い」パスワードを設定し、定期的に変更する
    http://www.jpcert.or.jp/magazine/security/illust/part1.html#03    

  その他の対策については以下の文書をご参照ください。

    Web 偽装詐欺 (phishing) の踏み台サーバに関する注意喚起
    http://www.jpcert.or.jp/at/2005/at050002.txt


III. フィッシングサイトを発見したら

  JPCERT/CC では本件に関連したフィッシングの状況把握と、今後の対策の検
討を行っております。また、フィッシングサイトに関するインシデント報告を
受け付けております。インシデント報告の際には以下の文書をご参照ください。

    インシデント報告の届出
    http://www.jpcert.or.jp/form/

    phishing 対応業務に関する FAQ 
    http://www.jpcert.or.jp/ir/faq.html


IV. 参考情報

    イラストでわかるセキュリティ
    フィッシングその他の詐欺の手口について
    http://www.jpcert.or.jp/magazine/security/illust/part2.html#07

    フィッシング対策協議会
    被害にあわないための5カ条 - STOP!フィッシング詐欺
    http://www.antiphishing.jp/gokajou.html


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

======================================================================
JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600  FAX: 03-3518-4602
http://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBRhH3kox1ay4slNTtAQEhJwQAu3CHGnKaNwojwooEtK/JON1rxjltA94Q
cVFGTrOVxi2LI/vRvf7Ru4OGn7EZ5aoAEc1cwR3pw/AyGvrYZqZ61QhptBO4/9FM
zy+Gi+O2lso6tQcDuPBdKToYWIMf/2fMtvNNmV69oPrqGxv2BSgjsCDAGnQpxy76
fVunLQ++4iA=
=8R6z
-----END PGP SIGNATURE-----