IDやパスワードを聞き出そうとする電話に関する注意喚起(更新)
最終更新: 2007-06-19
各位
JPCERT-AT-2007-0015
JPCERT/CC
2007-06-14(初版)
2007-06-19(更新)
<<< JPCERT/CC Alert 2007-06-14 >>>
ID やパスワードを聞き出そうとする電話に関する注意喚起
Fake Phone Calls Attempt to Steal ID and Password
http://www.jpcert.or.jp/at/2007/at070015.txt
I. 概要
ISP 事業者の委託業者を名乗り、電話にて ID やパスワードを詐取しようと
する行為が行われているとの報告が JPCERT/CC にありました。
報告によると、委託業者を名乗る者が ISP のサービスに関するパソコンの
設定変更の案内 (OP25B の設定) を装い、サービス利用者の ID やパスワード
を聞き出そうとします。サービス利用者が契約している ISP 名を会話の中で
特定しようとするとのことです。
このような電話に応じ、ID やパスワードを答えてしまわないよう、注意が
必要です。
* OP25B (Outbound Port 25 Blocking):
ウイルスメールや迷惑メールへの対策の一環として ISP が導入している
仕組み。
II. 対策
[サービス利用者]
本件は「なりすまし」と呼ばれるソーシャルエンジニアリング手法を用いて
います。ISP 関係者を名乗る電話で ID やパスワードの問い合わせがあっても、
回答しないようにしてください。
このような電話を受け ID やパスワードを伝えてしまった場合には、早急に
パスワードを変更してください。また、ISP への連絡も検討してください。
[ISP 事業者]
顧客からの問合せに対応できるよう準備することをお勧めします。また、顧
客への注意喚起を検討してください。
III. 参考情報
JPCERT/CC REPORT ひとくちメモコンテンツ
パスワードの取り扱いについて
http://www.jpcert.or.jp/wr/keyword_c.html#108
総務省
社員・職員全般のための情報セキュリティ対策
ソーシャルエンジニアリングの対策
http://www.soumu.go.jp/joho_tsusin/security/business/work05.htm
独立行政法人 情報処理推進機構
国内におけるソーシャル・エンジニアリングの実態調査 (PDF)
http://www.ipa.go.jp/security/fy11/report/contents/intrusion/socialeng/socialeng.pdf
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
__________
改訂履歴
2007-06-14 初版
2007-06-19 誤字修正
======================================================================
JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
Topへ