金融機関やオンラインショッピング事業者などのオンラインサービス提供者向け
Q1 | フィッシング(phishing)とは何ですか? |
---|---|
A |
フィッシングとは、銀行やオークションなどのオンラインサービスを装った Web サイトへサービス利用者を誘導し、サービス利用者の口座番号、暗証番号、個人情報などの重要な情報を盗み取ろうとする行為です。 金融機関やオンラインショッピング事業者などのオンラインサービス提供者を装ったメール (フィッシングメール) を送信し、サービス利用者を偽サイト (フィッシングサイト) に誘導して、サイトのフォームに情報を入力させて情報を盗み取る、という手順で行われるのが一般的です。 なお、多くの場合フィッシングサイトの公開は、セキュリティに不備のある第三者のサーバが不正に使用されて行われます。 そのため、必ずしも、フィッシングサイトを公開しているサーバの管理者がフィッシングを行っているわけではないことに注意してください。 |
Q2 | JPCERT/CCはフィッシングに対してどのような活動を行っているのですか? |
---|---|
A |
JPCERT/CCでは、フィッシングサイトに関するインシデント報告に対して、関係者とのコーディネーション、およびフィッシングの対応に関する技術的側面からの助言を行っています。 一般的なコーディネーションの手順は以下のとおりです。
フィッシングに対して上記の対応支援を望まれる方は、JPCERT/CCへのご報告をお願いいたします。 なお、JPCERT/CCでは個別の製品に関する質問への回答やコンサルティングは行っておりませんので、ご了承ください。 |
Q3 | JPCERT/CCに対応を依頼するとお金がかかりますか? |
---|---|
A | JPCERT/CCは無料でインシデント対応を行っているため、フィッシングサイトに関する対応をJPCERT/CCに依頼しても、お金はかかりません。 |
Q4 | サービス利用者をフィッシングから守るためには、どうすればよいですか? |
---|---|
A |
利用者がフィッシングサイトと正規のサイトを迷わず判別できるよう、貴組織の Web サイトには以下のような対策を行ってください。
独立行政法人 産業技術総合研究所 情報セキュリティ研究センター
また、利用者が簡単に確認できるよう、クレジットカードや会員カードなどの配布物に Web サイトの URL を記載することを推奨します。
安全なWebサイト利用の鉄則 / サイト運営者の鉄則 http://www.rcis.aist.go.jp/special/websafety2007/admin1.html |
Q5 | 自組織を装ったフィッシングサイトが発見されたのですが、どうすればよいですか? |
---|---|
A |
フィッシングによる被害を減らすために、速やかに以下の対策を行うことを推奨します。
フィッシング 110 番都道府県警察のサイバー犯罪相談窓口
また、このような事態に備えて、以下のような対策をあらかじめ行っておくことを推奨します。
http://www.npa.go.jp/cyber/policy/phishing/phishing110.htm
|
Q6 | 自組織を装ったフィッシングサイトを停止させたいのですが、どうすればよいですか? |
---|---|
A |
JPCERT/CCへインシデント報告を行うことによって、当該フィッシングサイトを早急に閉鎖できる可能性があります。 また、フィッシングサイト閉鎖サービスを行う企業も存在しています。
インシデントの報告
なお、JPCERT/CCから関係者への連絡は、関係者の方へ対応を強制するのではなく、自発的な協力をお願いするものです。したがって、フィッシングサイトの閉鎖や関連情報の開示等、貴組織の期待する結果が得られることを保証するものではないことをご了承ください。
https://www.jpcert.or.jp/form/ |