JPCERT コーディネーションセンター

国内金融機関を装ったフィッシングサイトに関する注意喚起

各位

JPCERT-AT-2007-0009
JPCERT/CC
2007-04-03

JPCERT/CC Alert 2007-04-03


国内金融機関を装ったフィッシングサイトに関する注意喚起

Phishing frauds targeting Japanese financial institutions

http://www.jpcert.or.jp/at/2007/at070009.txt

I. 概要

JPCERT/CC では、最近 1ヶ月間に国内金融機関 (銀行や消費者金融など) のフィッシングサイトが公開されているという報告を複数受理しております。これらのフィッシングサイトは、海外に設置されたサーバで公開されているなどの要因から、サイトの閉鎖までに時間がかかることがあります。金融機関から送られてきたと思われるメールなどに記載された URL にアクセスする際には注意してください。


II. 対策

フィッシングサイトの閉鎖が必ずしも容易でないという状況においては、オンラインサービスの利用者ひとりひとりが被害の予防に努める必要があります。具体的な対策としては不審なメールは開かない、不審なサイトにはアクセスしない、不審なサイトには個人情報などのデータを入力しない、などが挙げられます。

また、サーバ等の管理者については、自身の管理するホストに侵入され、フィッシングサイトとして使用されてしまわぬよう、セキュリティ対策の再確認を行うことを推奨します。

以下にまとめた、オンラインサービスの利用者とサーバ管理者向けの注意点を参考にし、対策をご検討ください。

**************************************************[オンラインサービスの利用者]

オンラインバンキング等のサービスを利用している方は以下の点を参考にし、一層の注意を払って下さい。

(1) 不審なメールには注意する
送信されてきた不審なメールに掲載された URL などへは、不用意にアク
セスしないようにしてください。悪意のあるサイトにアクセスするだけで
スパイウェアやウイルスに感染する可能性があります。

(2) アクセスする Web サイトのドメイン名を確認する
対象となる Web サイトのドメイン名が本当にその組織のものであるかを、
確認してください。電話で問い合わせたり、利用者カードに印刷されてい
るドメイン名と照合したりするなど、 Web 以外の手段でドメイン名の正
当性を確認することが重要です。各種検索エンジンでのドメイン名の確認
は、フィッシングサイトが検索結果の上位に表示される場合もあるため注
意が必要です。

(3) 情報を入力する際には Web サイトの安全性を確認する
フォームなどを使用して Web サイトに個人情報を入力する際には、その
サイトが信頼できることを確認してください。詳しくは以下のウェブサイ
トをご覧下さい。

イラストでわかるセキュリティ
安全であることが確認できない Web サイトにはアクセスしない
http://www.jpcert.or.jp/magazine/security/illust/part1.html#07

**************************************************[サーバ管理者]

パスワード総当たり攻撃によってシステムへの侵入を許し、フィッシングサイトとして使用されるというケースが多数報告されています。以下の点について再度ご確認ください。

- パスワードが設定されていないユーザアカウントがないか
- 脆弱なパスワードが設定されていないか
- 不要になったユーザアカウントが残っていないか

併せて、ユーザに対してパスワードの定期的な変更を促すこともお勧めします。パスワード以外の認証方式の導入も有効です。

イラストでわかるセキュリティ
「良い」パスワードを設定し、定期的に変更する
http://www.jpcert.or.jp/magazine/security/illust/part1.html#03

その他の対策については以下の文書をご参照ください。

Web 偽装詐欺 (phishing) の踏み台サーバに関する注意喚起
http://www.jpcert.or.jp/at/2005/at050002.txt


III. フィッシングサイトを発見したら

JPCERT/CC では本件に関連したフィッシングの状況把握と、今後の対策の検討を行っております。また、フィッシングサイトに関するインシデント報告を受け付けております。インシデント報告の際には以下の文書をご参照ください。

インシデント報告の届出
http://www.jpcert.or.jp/form/

phishing 対応業務に関する FAQ
http://www.jpcert.or.jp/ir/faq.html


IV. 参考情報

イラストでわかるセキュリティ
フィッシングその他の詐欺の手口について
http://www.jpcert.or.jp/magazine/security/illust/part2.html#07

フィッシング対策協議会
被害にあわないための5カ条 - STOP!フィッシング詐欺
http://www.antiphishing.jp/gokajou.html


今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

==============================
JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
Topへ
最新情報(RSSメーリングリストTwitter