小林:まずは警察に通報だな。
山下:はい。
各都道府県警察本部にはサイバー犯罪相談窓口が用意されており,フィッシングに関しても「フッシング110番」の名前で情報提供を受け付けている。
「フィッシング110番」には,フィシングの被害に遭って個人情報を取られてしまった場合だけでなく,今回のように,フィッシングをしている偽サイトを見付けた場合や,フィッシング・メールを受け取った場合も,情報提供として届け出ることが望まれる。
ただし,警察に届け出ても,必ずしも偽サイトを停止してくれるとは限らないことに注意しよう。警察への届出は,基本的には「情報提供」と考えるべきであろう。
[参考]
警察庁フィッシング110番
http://www.npa.go.jp/cyber/policy/phishing/phishing110.htm
都道府県警察本部のサイバー犯罪相談窓口等一覧
http://www.npa.go.jp/cyber/soudan.htm
警察以外にもフィッシングに関する情報収集と情報提供 (注意喚起) を行なっている「フィッシング対策協議会」という組織が存在する。この組織は経済産業省の支援に基づいて活動している。可能であれば,ここにも「情報提供」するとよいであろう。
[参考]
フィッシング対策協議会
http://www.antiphishing.jp/doc/method.html
小林:客様に対して,偽サイトに関する注意を促す告知をしないといけないな。
山下:範囲はどこまでにしますか?
小林:まず Web に掲載するのと,登録ユーザにメールで連絡。それから今回の場合はかなり露骨で悪質な偽サイトだから,プレスリリースも打っておこう。広報と相談して,文面を用意してくれ。
山下:了解しました。
フィッシングの対象にされた場合,まず最初にすべきことは,偽サイトの存在を速やかに利用者に告知し,被害に遭わないように注意を喚起することである。CIO は対象となるサービスの利用者への告知方法として,最適な媒体を選択し,速やかに注意を促さなくてはならない。
 |
| 図2●注意喚起文 [画像のクリックで拡大表示] |
注意喚起の文章には,偽サイトに騙されないための確認事項として,正規サイトに関する「正しい」情報を記す。具体的には URL (ドメイン名) や証明書に登録された会社名などである (証明書の内容の確認方法も,可能な範囲で具体的に紹介するのが望ましい)。
ただし,偽サイトに関する情報については注意が必要である。今回の場合は明確に「いろは物産」の名を騙っていたため,はっきりと「偽サイト」として広報し,送付されて来たメールの内容や,偽サイトの URL も紹介してよいだろう。
しかし,たまたま似ているだけで,明確な偽サイトであるとは判断しにくいケースもある。このような場合は,「似ているサイトがあるようだが,正規のサイトは○○のみである。」といった内容で告知する。
さらに,フィッシングの被害に遭った場合の対応として,「フィッシング 110番」に掲載されている都道府県警察のサイバー犯罪相談窓口に相談するように明記しておくことが望ましい。ほかにも,クレジット・カード情報が盗難された場合はカード会社に連絡して無効化する,ID が盗難された場合はパスワードの変更もしくはIDの無効化など,想定される被害の防止策をできるだけ詳細に説明するとよい。
また理想的には,このような内容をメールで告知する場合には,S/MIME(Secure MIME)による電子署名を用いることが推奨される。メールに用いる電子署名としては,前回の連載で紹介した PGP もあるが,PGP では公開鍵の認証が面倒であること,また一般ユーザの多くが使用しているメールクライアントソフトウェアが標準では PGP ではなく S/MIME に対応しているものの方が多いことから,一般ユーザ向けのメールの電子署名には S/MIME を用いる方がよいであろう。
なお,CIOの当然の責務であるが,一連の対応方針については適宜社長をはじめとする経営陣に報告することを忘れてはならない。
|
