自身の管理するホストが phishing サイトを公開しているという事実が判明した場合、システムが侵入を受けている可能性があるため、可能な限り早急な対応 (特にネットワークからの隔離) が必要です。 phishing サイトであることが確認された URL 上で公開されている不審なファイルだけでなく、他にも phishing に関連するファイルが置かれていたり、rootkit によってバックドアなどが仕掛けられていたりする可能性があるため、当該ホストをネットワークから切り離す (LAN ケーブルを抜く) ことを強くお勧めします。 また、インシデントからの復旧や再発防止ならびに調査・分析のため、当該ホストを隔離した上で、不審なファイルやログ情報などを保全する作業も重要です。
参考文書(日本語)
-
JPCERT/CC REPORT 2006-06-21号の「一口メモ」
http://www.jpcert.or.jp/wr/2006/wr062301.txt
-
JPCERT/CC REPORT 2005-04-20号の「一口メモ」
http://www.jpcert.or.jp/wr/2005/wr051601.txt
-
Web 偽装詐欺 (phishing) の踏み台サーバに関する注意喚起
http://www.jpcert.or.jp/at/2005/at050002.txt
-
技術メモ - Web ページの改竄に対する防衛
http://www.jpcert.or.jp/ed/2001/ed010006.txt
-
ITmedia エンタープライズ
自社サーバがフィッシングサイトに「踏み台化」されたら?
http://www.itmedia.co.jp/enterprise/articles/0603/17/news004.html
-
関連サイト
フィッシング対策協議会
http://www.antiphishing.jp/
Weekly Report 2006-06-30号 に掲載