山下は,フィッシング・メールの内容に簡単な状況説明を添えてメールでJPCERT/CCに送付した。

技術解説

  JPCERT/CCへの依頼については,以下のページを参考に,そこで配布されている報告様式を用い,info@jpcert.or.jp 宛に送付する。

[参考]
インシデント報告の届出
http://www.jpcert.or.jp/form/

図4-1●報告様式記入例
図4-1●報告様式記入例
[画像のクリックで拡大表示]

 山下がJPCERT/CCに依頼のメールを送付してしばらくすると,受領確認のメールが送られて来た。

図4-2●受領確認メール
図4-2●受領確認メール
[画像のクリックで拡大表示]

技術解説

 JPCERT/CC からのメールには前回紹介した PGP による電子署名が施されている。

 またしばらくすると,対応開始の連絡が来た。

図4-3●対応開始メール
図4-3●対応開始メール
[画像のクリックで拡大表示]

山下:JPCERT/CC から対応開始の連絡が来たので,あとは待つだけですね。

小林:どれくらいかかるんだ?

山下:こればっかりは相手によるので分からないです...

 数日後,JPCERT/CC から偽サイトが停止したことを伝える連絡が来た。

図4-4●対応終了(停止確認)メール
図4-4●対応終了(停止確認)メール
[画像のクリックで拡大表示]

山下:部長,これで一安心ですね。今のところ,実際にこの偽サイトに騙されたというお客様からの連絡もないですし,これで一件落着ではないでしょうか。

小林:そうだな。まずは JPCERT/CC にお礼のメールを送ってくれ。

山下:了解しました。

小林:それにしても,今回は悪質ではあったが,逆にその分「分かりやすかった」と思う。もっと微妙な,グレイな偽サイトが発見された場合のことを考えると,ちょっと不安だな... 今後の対策としてはどんなものが考えられる?

山下:ちょっと調べてみたんですが,銀行などの金融機関を対象にフィッシング・サイトを代わりに見付けてくれるサービスというのがあるらしくて,日本の銀行も利用しているそうなんです。

小林:なるほど,確かに銀行ならそういうニーズはあるだろうな。

山下:でも費用が莫大なのでウチではちょっと無理かなと。

小林:費用がかかるのは仕方ないだろうな。それにそこまでやるのは,費用の面でもウチの場合は現実的じゃないし。

山下:ただ,今回のような事態に速やかに対応できるようなマニュアルを整備しておくだけでも意味はあると思います。

小林:確かにそうだな。ポイントとしては…。

 金融機関など,フィッシング・サイトが立ち上げられる危険性の高い企業は,フィッシング・サイトを積極的に探し出して,停止依頼をするといった一連の作業を代行してくれる有償のサービスを利用するのが望ましい。しかし,それ以外の企業の場合は,被害を受ける頻度 (可能性) や費用の面から考えて,そのようなサービスを導入するのは難しいだろう。しかし,最低限,万が一に備えて速やかに対応できるように,対応手順を明確にしておくことが重要である。

 明確化しておくべきポイントは以下の点である。

1.偽サイトが本当に偽サイトかどうかを確認するための手順(作業に必要なパソコンやネットワークの準備を含む)
2.警察等への届出手順
3.JPCERT/CCへの依頼基準および手順

小林:早速マニュアル整備の作業に入ってくれ。

山下:了解しました。

小林:他にはどんな対策が考えられる?

山下:偽サイトは誰でも勝手に立ち上げられるので,未然に防ぐことは不可能ですが,考えられる対策としてはドメイン名を抑えておくという手もあると思います。

小林:ドメイン名を抑える?

 ドメイン名は,「.jp」のような国単位のものから,「.com」,「.net」,「.org」のように本来は米国のものだが,実際にはどこの国でも利用できるものがある。今回の例では,いろは物産は.co.jpドメインしか持っていなかったのだが,そのために何者かが誰でも簡単に取得できてしまう,似た名前の.comドメインを取得して,偽サイトを設置したのだ。

 そこで考えられる対策としては,似た名前で悪用される危険性のあるドメインを一通り自社で全て取っておくという方法がある。ドメインの値段はまちまちではあるが,1ドメインあたり 1年で,数千円程度であり,保持するだけであれば決して高くはない。

 どこまでのドメインを自分たちで保持するかは判断の別れるところであり,可能性を考え始めれば切りがない。しかし,例えば少なくとも .co.jp の前に付く文字列と同じ文字列の付いた .com ドメインと .net ドメインを持っておくのは「フィッシング対策」としては有効な方法の 1つと言えるだろう。

 また,.comドメインや汎用JPドメインのように比較的容易に取得できるドメインについては,企業名ではなく,サービス名でドメインを取得し,サービス終了後に破棄する,言ってみれば「使い捨て」ドメインであることも多い。そのため,つい最近まで「正規」のサイトに使われていたドメインがしばらくして赤の他人に所有されて「悪用」される可能性も否定できない。一度所有したドメインは可能な限り長く保持する,もしくは必要でなくなった場合は信頼できる相手に「譲渡」することが望まれるのだ。

 このようにフィッシングの対象にされる場合を考えた対策としては,ドメインの扱いが重要なポイントになる。しかし,むやみやたらに取得するのではなく,長く保持することを前提に,真に「意味のある」ドメインを慎重に選んで取得して欲しい。

小林:似た名前の.comドメインは既に取られているから別の対策を考えなくてはいけないが,似た名前の.netドメインは抑えた方が良さそうだな。

山下:そうですね。早速どんなドメインが空いているか調べてみてみます。

小林:宜しく頼む。オレはまず社長に「無事解決」の連絡をしてくる。

押田 政人(おしだ まさひと)
セキュリティを専門とする IT ライター。翻訳にも携わる。最近手がけることが多いテーマは、セキュリティ対策に必要な企業内組織体制。長年セキュリティ組織のメンバーとして活躍してきた。そこで培った豊富な知見と人脈が強み。