自社サーバがフィッシングサイトに「踏み台化」されたら?:企業責任としてのフィッシング対策(3/3 ページ)
自社をかたるフィッシングサイトを見つけたら
では、これまでとは逆に、自分の会社のサイトをかたったフィッシングサイトを発見した場合はどのようにすればいいだろうか?
サイトのIPアドレスからwhoisを用いて連絡先を調べ通知する
ことが基本である。
IPアドレスのwhoisデータベースに登録されている「技術連絡担当者(Technical Contact : TechEmail)」や「Abuse 連絡先(Abuse Contact : AbuseEmail)」のメールアドレスを調べ、そこに連絡するようにしよう(*3)。このとき、フィッシングに関する通知であることを分かりやすくするため、Subjectや本文に「Phishing」「Spoofed」「Fraud」などの単語を用いると、より効果的だ(*4)。
whoisを調べる際は、けっしてドメイン情報からではなく、IPアドレスから調べるようにしよう。昨今のフィッシングサイトの場合、本物によく似た偽ドメイン(*5)を取得している場合がある。このようなときにドメインの登録者に連絡するということは、フィッシャーに連絡するのと同じことになるからだ。
同じく、フィッシングページ上に表示されているメールアドレスも連絡先としては適切ではない。言うまでもないが、フィッシングページに示されているメールアドレスが正しいわけがない。
それでもフィッシングサイトが閉鎖されない場合は、そのホストの上位ISPや各国のCSIRTを経由して連絡することを検討しよう。上位ISPから該当するホストのあるISPへの連絡経路は確保されているはずなので、確実に連絡が届くはずである。また、JPCERT/CCも参加しているFIRST(Forum of Incident Response and Security Teams)(*6)のメンバーを経由して該当するホストの管理者へ連絡できることもある。
例えば2005年3月、海外に現れた邦銀フィッシングサイトのインシデントの場合、JPCERT/CCは、FIRSTメンバーを仲介してウルグアイのISPとコンタクトを取り、サイトの閉鎖に追い込んだ実績がある。もし、インシデントの送付先が分からないなど、困った事態に陥ったならば、ぜひJPCERT/CCに連絡してもらいたい。
自社に対するインシデント報告を見逃さない
さて、自社のホストに関するインシデント報告を見逃さないためには、まず、whoisデータベースに記載される読者の会社の連絡先の正確を期さなければならない。
われわれJPCERT/CCも、インシデント通知を行う場合はwhois情報を参照するが、連絡先が得られずに対応に苦慮することがある。このように、whoisに登録されている連絡先のメールアドレスが不正確だと、もしインシデントが発生しても外部から情報が得られないなど、その発生に気づくのが遅れ、結果として対応も遅れる恐れがある。
また可能ならば、上記で述べたwhoisデータベースに記載される読者の会社の連絡先メールアドレスは、複数の人間が読んでいるグループアドレスがよいだろう。前述の複数の権限者に関しては、必ず入ってもらうようにするのがベストである。
なお、現時点の自社IPアドレスのwhois登録情報を確認する方法としては、JPNIC(日本ネットワークインフォメーションセンター)のページにWebインタフェースがある。この際、自社への連絡先をはじめとする登録情報を確認することをお勧めする。
JPNICのWebページにwhois検索インタフェースが用意されている最後に、もし、この連絡先メールアドレスに迷惑メールフィルタを導入するのであれば、「phishing, spoof, fraud, clack, hack, hijack, abuse」など、インシデント報告に使われる単語が含まれるメールに関しては通過するように設定するべきだろう。
whoisに登録されているメールアドレスはスパムメールの標的になり、相当数のスパムメールが来ることを覚悟しなければならない。もし、その対策としてスパムメールフィルタリングソフトなどを導入するとしても、インシデント報告を通過させるルールを追加して、読むべきメールを確実に読めるようにするべきだろう。
以上、これまでJPCERT/CCで取り扱ったインシデントを基に、フィッシング踏み台サイト化された場合の対処方法例を示した。日々巧妙化していくフィッシングであるが、基本的な心得としていただきたい。
*3whoisデータベースによって表現が異なる。JPNICの場合は「Abuse 連絡先(Abuse Contact)」はないので「技術連絡担当者(Technical Contact)」を用いる。ARINの場合は「RTechEmail」や「OrgAbuseEmail」を用いればよいだろう。
*4whoisで公開されているメールアドレスはスパマーの格好の攻撃対象になっているため、1日に数千通のメールが届くこともある。その中でどのようにして気づいてもらうかを考えた場合、より具体的な表現を使った方がよいだろう。
*5例えば「foobar-bank.com」の偽ドメインが「foobar-bahnk.com」のように登録されていたこともある。
*6FIRSTメンバーのリストはhttp://www.first.org/about/organization/teams/index.html参照。それぞれハンドリングする範囲とも言えるConstituencyがあるので注意。JPCERT/CCの場合は日本のインターネットコミュニティーを対象範囲としている。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。