フィッシング攻撃対策を効果的に実施するための注意ポイント：セキュリティ強化塾（4/4 ページ）

自社サービスを「フィッシング」に使われないために

　別の視点からフィッシング対策を考えてみよう。自社がインターネット上で何らかのサービスを提供しているのであれば、攻撃者があなたの会社をかたってフィッシング攻撃を仕掛ける可能性はゼロではない。フィッシング攻撃に「利用されない」ために考慮すべき点は何だろうか。

　例えば、自社のWebサイトが静的な情報を掲載しているだけの一般的なものだったとしても、Webサーバに脆弱性が残っていれば不正なサイトを作られる可能性がある。この場合、URLは正規のものであり、利用者からは見分けが付かないフィッシングサイトが完成するというわけだ。

　対策としては、Webサーバに「改ざん検知」機能を備えるべきだ。Webサーバにあるファイル群の「変更」「追加」「削除」が行われたときにアラートを出し、不正な変更が行われていないかをチェックする仕組みだ。これは、オープンソースのアプリケーションを使って、コストをかけずに実現することも可能だ。Webサーバを構成するアプリケーションの脆弱性を管理し、適切なアップデートにより不正な攻撃を防ぐことでフィッシングの加害者にならないようにしたい。

　また、組織名が表示されるEV SSLサーバ証明書の導入も検討したい。当初は金融機関が中心となって導入が進んでいたが、現在では業種を問わず活用が進んでいる。EV SSLサーバ証明書を使い、利用者にアピールすることにより、自社の偽サイトとの判別を簡単に行えるようになる。

　さらに、自社が取得しているドメインに似たようなものを使われないようにすることも重要だ。この点に関しては、JPCERTが運用するドメイン「jpcert.or.jp」に似たドメイン「jpcert.org」の排除に成功した報告書が参考になるだろう。似ているドメインを発見した際に利用者に注意喚起を行い、そのドメインを取り戻したという事例だ。似たようなドメインを抑えられて困っているサービス運営者は参考にしてほしい。

フィッシング被害に遭ったらどうすべきか？

　最後に、フィッシング被害に遭ってしまったときの対処方法をまとめておこう。フィッシングに関する報告は、フィッシング対策協議会でも受け付けている。

　また、自社のサービスに対するフィッシングが発見された場合、利用者に対して「どのような報告手段を使うか」という点をしっかり周知しておくことは重要だ。例えば、自社からの報告はTwitter、Facebookページに限り、それ以外の方法は使わないとあらかじめ宣言しておけば、利用者はどの情報を参考にすればいいのか、また、どの情報は偽のものだと無視していいのかが分かる。

　フィッシングは日々巧妙化し、見分けることが難しくなっている。サービス運営者はフィッシングさせないために、脆弱性管理や改ざん検知などを取り入れ、利用者を守るということを考えてほしい。