フィッシング詐欺等の被害に遭わないために(コンシューマー編)
フィッシングメールを受け取らない
- ISPメールボックスを使わない
- docomo や au、softbank のキャリアメールを使わない
- 強力なSPAMフィルター、メールサンドボックスに頼り切る
- Chrome、Firefox に頼り切る
セキュリティ対策にリソースを使っている大手サービスを利用する。最も情報が集まっているのは、ブラウザ開発をしている組織である。まぁ、ありていに言えば Gmail に頼ってしまえよ!!という身も蓋もない主張。
他人から送り付けられたリンクを開かない
- SPAM、フィッシングに限らず広告等も含めて、知らん人から届いたURLをそのまま開かない。
- パスワードマネージャーに保存したURLから開く。
- 怪しいメール、すなわち初めての URL、ドメインはレピュテーションサイトで調査する。
- 謎のフォームには入力しない。
- 知らん人から渡されたフォームは偽物だと思え。
上記のことは、要するに「裏取りしろ!」ということである。
金融系サイトは予めアプリを入れておく
- 銀行
- クレジットカード
- 電子決済
- ショッピング
サービスにユーザー登録時に、公式アプリをインストールしておく。 PCではパスワードマネージャーに登録しておく。
正しいサイトだけを使う。
- パスワードマネージャーを使うことで、不要なサイト(騙しサイト)で入力をしない。
情報を入力しない
- 取られて困る情報は(なるべく)入力しない。
- (信頼出来ない)ネットでは、プリペイドカードを使う。
盗られた時に、実生活で困るものは影響範囲を最小に絞って日常生活をすると良いかもね。
(2022/02/02 追加) 絶対死守するアカウントを決める
絶対に守りたい、盗られたくないアカウントを決めておくことで、守りに掛けても良いコストを想像する。
そして、ここで決めた 絶対死守アカウントは、メールやSMSで受け取ったリンクを開いて入力することは絶対にしない。 絶対死守アカウントにログインするときには、必ず自分のブックマークやパスワード管理ツールからログインすると決める。
- スマホやパソコンなどの自分にとって大事なデバイスのアカウント
- Google アカウント
- Apple ID
- Microsoft アカウント
- SNSアカウント、ネット上の自分の人格
- 銀行、クレジットカード、電子マネーなどのアカウント
- 犯罪者が狙っているのは換金できる情報なので、普段は扱う頻度が少ないかもしれないがリスクは非常に高い。その分、サービス提供している事業者はセキュリティに配慮した機能(ログインお知らせ、決済お知らせ、2要素認証などなど)を提供している。すべての機能を活用すること。
- 認証情報を管理するアカウント
- すなわちパスワード管理マネージャーのアカウント
さらに意識高い系になる
以前の日記に書いたように、ハードキー(USB/NFCキー)で FIDO2/WebAuthn に対応した認証を使えるようになる。 kt-nk.hatenadiary.jp
FIDO2認証にすれば、フィッシングによるワンタイムパスワード破りにも対抗出来るようになる。 FIDO2/WebAuthn はスマホをキーにすることも出来るので USB/NFCキーをわざわざ買わなくても使えるようにはなるのだが、鍵となるハードウェアを喪失してしまうと自分のアカウントを取り戻すのが困難にもなるので、USB/NFCキーとスマホを併用することで鍵の喪失に備える事が出来ると思う。 www.nikkei.com
その他、各事業者からのフィッシング詐欺対策のアナウンス
「正しく怖がる フィッシング詐欺 オーム社」を読んでみた
正しく怖がるフィッシング詐欺 | Ohmsha
- 目次
TL;DR
この本は、コンシューマー(一般の個人利用者)を対象としたフィッシング詐欺対策を啓もうする本です。 非常に丁寧で最新の情勢を反映していると思いました。。フィッシング詐欺の概要を読むには良い本だと思います。
ただ...
- 内容を考えると 200ページ以上あるのが...。(ちょっと丁寧すぎ?)
- 2,420円(税込)は高い...。
- 概要は分かったが、対策についてが物足りない...
フィッシング詐欺が今後より課題となるのは、コンシューマーからエンタープライズに移っていくだろう。その点でも、対策については具体性が必要になるのかなと、思いました。
- 本書で紹介されているフィッシング詐欺対策
- 自分が利用しているウェブ(インターネット)サービスは、予めブラウザのブックマークに登録して日常的に使おう。
- 銀行、クレカのサービスは、予め公式アプリをインストールして日常的に使おう。
- 2要素認証、2段階認証を設定しておこう。
- 複数のメールアドレスを使い分けよう。
- 登録するサービス毎に例えば、「重要なサービスのメールアドレス」、「ゲーム娯楽用のメールアドレス」などと分けて使用する、とか。
- 詐欺事例ニュースをチェックする。
- 詐欺は日頃の隙を狙うもの、「疑う」という姿勢が大事かもしれませんよ。
発見とテイクダウンを目的とする人はこちらをご覧下さい。 qiita.com
フィッシング詐欺と私 〜正直、他人事だよね〜
フィッシング詐欺は、割りと身近にある迷惑行為というか犯罪で、主には迷惑メールという形で顕在している。興味本位で迷惑メールフォルダを覗いてみると、自動的に振り分けられたSPAMの中に広告メールとともにメールプロバイダーによって「詐欺メール」と判定されたメールが入っている。
私は Gmail を使用しているので、自分に届くメールは総べてGoogleによって検閲されている。Googleのメールスキャンによって詐欺メール(fraud mail)はより分けられているため、ほぼ100%と言って良いくらい詐欺メールをそのまま受け取る機会が無くなっている。 (データを持っているわけでは無いので不確かだけれど、2007年から Gmail for Your Domain で使っているが、Adobe IDの漏えい(2013年秋)の頃からも詐欺メールが受信フォルダに入っていた記憶がない...、ただ単に忘却しているのかもしれないが...)
要するに、「迷惑メールフォルダをわざわざ覗けば詐欺メールがあるが、詐欺メールと知らずにリンクをクリックする」ような事は先ず無いのであった。 多分、オレオレ詐欺電話と同じような感覚なのだと思う。即ち、「私に詐欺電話が掛かってきても受電しないから詐欺には引っかからないワ」という他人事なお気持ち。
注釈というより、ツッコミとかただのメモ書き
この手の本を読む時、私は付箋紙とペンを片手に読んでしまう。気になったことや自分の感想を書き込んでしまうのだ。小説ではやらないけれど、ビジネス本や技術書や現代社会の解説本などには、読んだ時の自分のポジションや感想を書き入れておくことで、後に読み返した時の自分の変遷も辿れる事に面白みを見出している。
- p.9 [1章 フィッシング詐欺とは]
- p.11 [1.1 偽物のメールと偽物のWebサイト]
- p.15 [1.2 増え続けるフィッシング詐欺]
- (フィッシング対策協議会のデータを引用している事を指して) フィッシング詐欺の本質は、本物と偽物の見分けが付かないことである。しかし、フィッシング対策協議会は団体としての権威性が不明なのである。
- p.17
(アメリカFBIのサイバー犯罪被害数統計の犯罪分類の紹介を指して) Vishing / Smishing / Pharming 等をフィッシング詐欺に分類ている事について、定義があるならその文書をポインターで示して欲しい。
- p.19 [1.3 フィッシング詐欺の被害金額]
- p.29 [2章 Aくんの例-引っかかるとどうなる?]
- (大雑把に分かりやすく紹介した事例を指して) フィッシング詐欺によって、認証情報を取られた後に何をされるかの解説としては分かりやすいのだが、どの程度の時間軸(詐取されて数日で被害が発生するのか?それとも数時間以内にお金を使われるのか?とか)がないと恐怖感が伝わらないかもしれない。
- p.36 [3章 インターネットの基礎知識 3.2ログインとID、パスワード]
- (「認証」と「認可」の説明に関してメモ書き)
- Authentication: 恐らく、多分、「本人」であろう...と確認して、そう認めることを『認証』と呼ぶ。
- Authorization: 認証されたユーザー、アカウントごとにアクセス制御することを『認可』と呼ぶ。
- (「認証」と「認可」の説明に関してメモ書き)
- p.39 [3.3 ドメイン、URL、IPアドレス]
- www をサブドメインと説明しておいて、「mail というホスト(またはサブドメイン)」と説明してしまうのは表記の揺らぎというか、未定義タームの使用なのでは?
- (FQDN を記載する時に "." を "[.]" と囲むことで自動リンクされることを防ぐことを指して) ここに関してを丁寧に説明すべきで
www.example.com
と書いてしまうと、表示システムによっては自動的にハイパーリンクとして出力してしまうので不用意にクリックしてしまわないために www[.]example[.]com と記載してリンク文字にしないようにしている。 - (スキームについて、「Webサイトの場合は http と https しか使いませんから」との記載を指して) 🤔
wss://
とかあるしなぁ...、言い切ってしまうのはどうもなぁ...。ここは記載を簡略にして分かり易く読み進めることを優先しているとは分かるのだが、引っかかるなぁ。
- p.47 [3.4 電子メールのしくみ]
- (メール関連プロトコルとして SMTP/POP3/IMAP を示しているのに図解がないことを指して) それぞれのプロトコルが何処で使われているかの説明が必要なのではないかと思った。 (「メールは送信時に経由したサーバ等のログを残したまま受信者に届く」との記載を指して) あくまで、SMTPで中継しているログが残っているだけである。今時分は、オープンな中継をするMTAは既に駆逐されているので、途中経路というサーバーは存在しないのではないか? Eメールは、組織やベンダーの違いを容易に跨いでメッセージのやり取りが出来るしくみである。だからこそ便利で、それが故に悪意のあるものに利用されている。
- (「マルウェアを添付したメールをばら撒いてPCを感染させる」との記載を指して) トロイ系についても「感染」と呼ぶのは不思議な感じがする。
- p.55 [3.5 SMS(ショートメール)のしくみ]
- p.56 [3.6 IDとパスワード]
- (パスワードの使い回しは危険だと指摘していることについて) イラストがちりばめられているのに実際のユーザーの共感を呼ぶような構図にした方がイイと思うのだけど...。
- この本は、一般向けの啓蒙を目的とした本であると思う。啓蒙によって被害を防ぎたいのなら、ブラウザのパスワードマネージャーや OSのキーチェーン機能を紹介するに留めるよりも、パスワード管理ツールの選び方や使い方を解説した方が良いように思うのだ。しかし、セキュリティの専門家が公にパスワード管理ツールを勧めている事例を聞かないのだよなぁ、どういう理由があるのだろうか?
- p.59 [3.6 盗まれたパスワードの確認 Have I Been Pwned]
- 著名なセキュリティ研究者とは...? コンピュータ・セキュリティのニュースでは「研究者」と書かれるケースが多い。セキュリティ・エンジニアの肩書きとして「リサーチャー」は、「アナリスト」ではないし「エンジニア」でもない事も多い。セキュリティ関連ニュースをスクラップする人もリサーチャーと呼ばれたりもする...。(研究者というと大学などで研究しているひとをイメージしてしまう)
- したがって、
Have I Been Pwned
に自分のIDを入力するのは中々ワイルドだなと思って掛からないといけないのではないか?
- p.63 [3.6 2要素認証]
- (2要素認証は不正ログインに対しては強力な対抗策であるという記述を指して) SMSやOTPアプリによるワンタイムパスワードも突破されるし、実際にワンタイムパスワード破りを称する闇サービスが存在している。https://www.nikkei.com/article/DGXZQOUC2660D0W1A021C2000000/:title8
- p.64 [4章 フィッシングメール]
- p.71 [4.1 こんなメールがやってくる]
- p.81 [4.2 心理的なだましのテクニック]
- 詐欺師の話を聞いたらその時点でアウトであるように、フィッシングメールを読んだら騙される人は騙されてしまう。注意喚起が通じる人に説明するよりも、偽メールを読まないで済む方法を教える方が役に立つと思うのだ...。
- p.82 [5章 フィッシングSMS]
- p.91 [5.2 本物っぽく見せるワザ]
- p.95 [5.4 SMSを送るマルウェア]
- 技術を紹介するのではなく、被害対策を啓蒙するための本であるようだ。だとすると、読者が本当に読んでくれるのか疑問ですよね。どうやって通信制限しているかなどを解説する方が良い気がするのですよ。(本書の後の方では、詳細を解説しているページがある)
- p.102 [5.4 SMSを送るマルウェア]
- 野良アプリ、サイドローディング。公式ストア(Google Play)以外からアプリをインストールすること。
- p.163 [7章 フィッシングサイトの見分け方 7.3 メールの差出人では見分けられない]
法令
- 現行法
- オリジナル
フィッシング対策のガイドラインについて
フィッシング対策ガイドライン 2021年度版 フィッシング対策協議会2021年6月1日 を読んでみました。
概要
https://www.antiphishing.jp/news/techwg_openday2020_online_TOPPANFORMS.pdf
- フィッシング対策協議会 Council of Anti-Phishing Japan
- 目的: フィッシングに関する情報収集・提供、注意喚起等の活動を中心とした対策の促進
- 会長: 岡村久道 岡村久道 (@Lawcojp) | Twitter
- 運営委員
- トッパン・フォームズ / Japan Digital Degisn / ソースネクスト / リクルート / JPRS / セブン銀行 / カリウス / 日立システムズ / アルプスシステムインテグレーション / NTTコミュニケーションズ / トレンドマイクロ / bitFlyer / ACSiON / ラック
- 活動
- フィッシングに関する情報収集・提供
- フィッシングの動向分析
- 技術・制度的対応の検討
- 海外機関との連携: 米国APWG 等
- フィッシング対策協議会 Council of Anti-Phishing Japan | フィッシング対策協議会について | WG 活動
- メンバー: https://member.antiphishing.jp/about_ap/member.html
- コンテンツ
- フィッシング対策協議会 Council of Anti-Phishing Japan | マンガでわかるフィッシング詐欺対策 5 ヶ条
- ソフトウェアはアップデートをして最新の状態を保つ
- 不審なメールに注意しましょう
- メール内のリンクは見た目と実際のアドレスが異なります
- 不審メールや不審サイトは「フィッシング対策協議会 info@antiphoshing.jp」に報告して下さい
- 詐欺や窃盗に遭ったときに備えて、連絡先をリストアップしておく
- サービス事業者(銀行やクレジットカード会社など)
- 警察
- フィッシング対策協議会
- フィッシング対策協議会 Council of Anti-Phishing Japan | マンガでわかるフィッシング詐欺対策 5 ヶ条
利用者向けフィッシング詐欺対策ガイドライン2021年度版
先ずは「利用者向け」要するにコンシューマ向けのガイドラインを読んでみました。
- 目次
- フィッシングとは
- フィッシング対策3つの心得
- いますぐできるフィッシング対策
- フィッシング対策協議会と本ガイドラインの位置づけ
- 付録
- フィッシング事例
- パスワードの考え方(「フィッシングレポート2015」より)
1. フィッシングとは
- 2012年3月に不正アクセス行為の禁止等に関する法律が改正され、2012年5月に法改正が施行されたことにより、フィッシング詐欺行為が処罰対象となりました。
- 不正アクセス罪
- 不正取得罪
- 不正助長罪
- 不正保管罪
- 不正入力要求罪 << 主にコレに当たる
- 類型: サイト構築型
- 類型: メール送信型
フィッシングとは Phishing であり魚釣りではありません。
- フィッシング(Phishing) ≠ 魚釣り(Fishing)
- 様々なサービスの利用者(消費者)のパスワードを詐取(だまし取る)することを狙いとしています。
2. フィッシング対策3つの心得
- STOP 立ち止まって理解する
- THINK 何が起こるか考える
- CONNECT 安心してインターネットを楽しむ
3. いますぐできるフィッシング対策
- 正しいURLにアクセスする
- オンラインサービスの初回利用時のユーザー登録、利用登録の際にはブラウザーのブックマークに登録するなどしておく。
- バナー広告や検索結果などのリンクから直接パスワード等の入力を求められてもそこでは入力しないで、自分で登録したブックマークからログインなどを経てアクセスする等の工夫をする。
- 電子メールのリンクはクリックしない。
- 本物のウェブサイトであるかを確認する。
- ドメイン名が正しいか? / ウェブサイトを運営している組織は正しいか? / アドレスバーの鍵マークをクリックして証明書を確認する
- (感想)↑コレを全部確認しても本物か偽物かなんてワカランだろ!? 本物のサイトでもサテライトサイトやプロモーションサイトは .com とか .io とか .tv とかワケワカランし。証明書も Let's などを使うのが当たり前になっていて、企業サイトが総べて EV を使っているとは限らない!!
- モバイル端末では、URLが総べて表示されないので ドメイン をみて確認する。
- (感想)↑無理やろ、マジ無理やろ、アホちゃうか、お前は区別出来るんか?
- オンラインサービスの初回利用時のユーザー登録、利用登録の際にはブラウザーのブックマークに登録するなどしておく。
- なりすましメールに注意する
- パソコンやモバイル端末を安全に保ちましょう
- ソフトウェアを最新の状態にする
- パスワードのしっかりとした管理 (後段の フィッシングレポート2015 で触れるらしい)
- サービス事業者のセキュリティ機能を活用する
- ワンタイムパスワード
- アプリ生体認証
- メール認証、SMS認証
- 利用状況メール通知(ログイン通知や決済通知など)
- ソフトウェアキーボード << (感想)流石に嘘やろ
- ウイルス対策ソフト <<(感想)🤔確かにURLフィルター機能が付いているAVもあるな...
- フィッシングサイト検知ソフト << (感想)↑のURLフィルターのレピュテーション機能やな...
- 正しいアプリを使う
- Google Play か App Store 以外の野良アプリをインストールしない(サイドローディングしない)。
4. フィッシング対策協議会と本ガイドラインの位置づけ
フィッシング対策協議会は、2005 年 4 月に、フィッシング詐欺をはじめとするオンライン犯罪の増加を予見し、関係者が情報交換を行い、また被害況に応じた対策を推進するという目的で発足いたしました。
- 関係者が誰なのか?
- 設置者は誰なのか?
- 誰が権威を与えているのか?
謎の団体なんだけど...、どうしたら「フィッシング対策協議会」の素性が分かるのだろうか?
5. 付録
- フィッシング事例
- ショッピングサイトを騙る事例
- 銀行を騙る事例
- クレジットカードを騙る事例
- SNSを騙る事例
- オンラインゲームを騙る事例
- パスワードの考え方(「フィッシングレポート2015」より)
- 情報セキュリティ大学院大学 内田勝也 名誉教授のコラムを紹介している。
- パスワード管理ツール
- 手書きメモ、手書きノート
- 認証サービスの利用 <<(感想)組織のシステム管理者による一元化された認証管理サービスは、個人利用者向けではないですね。
フィッシング対策ガイドライン2021年度版
1. はじめに
- 想定読者と目的
- 対象:
- フィッシングによって被害を受けるウェブサイト運営者と利用者
- 目的
- フィッシングへの対策を整理して提示する。
- 対象:
- このガイドは何であって何でないか
- フィッシング対策に絞っている。
- 機密性、完全性、可用性について解説・提言はしない。
- EUCを対象として AV の話はしない。(フィッシングにつながるものは考慮する) << (感想)何を言っているかワカラナイ...
- 用語解説
- フィッシング(phishing)
- 実在する組織を騙って、ユーザーネーム、パスワード、アカウントID、ATM の暗証番号、クレジットカード番号といった個人情報を詐取すること。
- フィッシャー(phishier)
- フィッシング行為は、おとりとなる電子メールを起案する者、電子メールを送信する者、フィッシングサイトを設置する者など、複数の行為者で構成される。フィッシャーとは、それら一連の行為者の全体を意味する。
- フィッシングサイト(phishing site)
- 金融機関、クレジットカード会社など、金銭に関連するアカウント情報を持つサイトを模倣して設置されたおとりサイトのこと。
- フィッシング被害
- テイクダウン(take-down)
- フィッシングサイトを閉鎖することを指す。シャットダウンまたはサイトクローズともいう。
- CSIRT(シーサート、Computer Security Incident Response Team)
- コンピューター およびコンピューター ネットワークで発生したセキュリティインシデントに関する報告を受け取り、精査した後に、適切な対応を行うことを目的に組織されたチームのことを指す。特定の企業、大学など比較的大規模な教育機関、地域あるいは国家、研究ネットワークなどのために組織される。
- SMS(Short Message Service)
- 携帯電話同士で電話番号を宛先にして短いテキスト(文章)によるメッセージを送受信するサービス。開封率の高さから企業から利用者への連絡手段として利用されている。
- 錠前マーク
- フィッシング(phishing)
2. フィッシングに関する基礎知識
- フィッシング詐欺の手口(利用者の認証情報を取得する迄)
- (フィッシャー)正規のウェブサイトを模した偽サイトを準備する。
- (フィッシャー)利用者に偽サイトのURLへ誘引するメッセージ(メール、SMS)を送り付ける。
- (利用者)メッセージにより偽サイトに誘導される。
- (利用者)正規のウェブサイトと混乱し、利用者自身の正規ウェブサイトの認証情報を入力してしまう。
- SMSを利用したフィッシング詐欺
- SMSを利用したフィッシングでも手口や構造はPCメールをターゲットとしたものと大きく異なることは無い。
- (注釈)SMSフィッシングのことを「スミッシング」と呼んでいるのも耳にする。
- (注釈)SMSでは、一般ユーザー(回線契約利用者)が送信者偽装を見抜く術を持たないことが最も大きい難問であった。国際PSTN網を経由することで発信や番号を偽ってSMS送信する事が出来る。
- Web サイト運営者においては、フィッシングに利用される可能性が低い国内直接接続のSMS 配信を利用し、事前に発信者番号をWeb サイト等で告知することが対策としてあげられる。
- SMSを利用したフィッシングでも手口や構造はPCメールをターゲットとしたものと大きく異なることは無い。
3. フィッシング対策ガイドライン重要5項目
- 利用者に送信するメールには「なりすましメール対策」を施すこと
- 複数要素認証を要求すること
- フィッシャーの狙いは、認証情報(ログインアカウント情報、クレデンシャル)である。フィッシングによって詐取した認証情報を使用して正規ユーザーになりすまして資産の移動をする事を最終目的としている。(不正送金や商品の購入)
- 詐取した認証情報だけでは、ログインアカウントを使用できない仕組みにしておく事でフィッシャーに目的を達成させない。それにより被害を抑えることになる。
- 複数要素認証の利用: ワンタイムパスワード、FIDO2/WebAuthn デバイス
- ドメインは自己ブランドと認識して管理し、利用者に周知すること
- すべてのページにサーバー証明書を導入すること
- フィッシング詐欺対応に必要な組織編制とすること
- フィッシング詐欺に関する報告窓口を設けること
4. Web サイト運営者におけるフィッシング詐欺対策
利用者保護および信頼確保の視点を持ち、Web サイト運営者においても、十分なフィッシング詐欺対策を実施すべきであろう。
本ガイドラインで提示する対策事項では、実施必要性について以下のような優先度を設定している。 * ◎:実施すべきと考えられるもの * ○:実施を推奨するもの * △:必要に応じて実施すべきもの
- 4.1〜4.4 対策
- 【要件1】 ◎:利用者が確認できるように利用環境と分かりやすい説明に配慮した上で、どのように確認すればいいのかを分かりやすく端的に説明すること。
- 【要件2】 ◎:外部送信用メールサーバーを送信ドメイン認証に対応させること
- 【要件3】 ◎:利用者へのメール送信では、制作・送信に関するガイドラインを策定し、これに則って行うこと
- 【要件4】 〇:Web サイト運営者が利用者に送信するメールはテキスト形式とすること
- 【要件5】 ◎:利用者に送信するSMS には国内直接接続の配信を利用すること
- 【要件6】 ◎:利用者に情報発信する手段および内容を周知すること
- 【要件7】 ◎:Web サイトの正当性に係る情報を十分に提供する画面とすること
- 【要件8】 ◎:すべてのページにサーバー証明書を導入すること
- 【要件9】 ○:認証システムが許容するポリシーを利用者に示すこと
- 【要件10】 ○:色々なチャネルで利用者に対する脅威の状況を提供する
- 【要件11】 ◎:利用者に端末を安全に保つよう、注意を促すこと
- 【要件12】 ◎:複数要素認証を要求すること
- 【要件13】 ◎:ポイントや資産の移動に限度額を設定すること
- 【要件14】 ◎:ポイントや資産の移動時に利用者に通知を行うこと
- 【要件15】 ○:利用者の通常とは異なるアクセスに対しては追加のセキュリティを要求すること
- 【要件16】 ○:登録情報を変更するページへの移動には再度認証を要求すること
- 【要件17】 ○:重要情報の表示については制限を行う
- 【要件18】 ○:認証情報は厳格に管理すること(アカウントは不必要に発行しない)
- 【要件19】 ◎:アクセス履歴の表示
- 【要件20】 ◎:利用者の認知している Web サイト運営者名称から連想されるドメイン名とすること
- 【要件21】 ◎:使用するドメイン名と用途の情報を利用者に周知すること
- 【要件22】 ◎:ドメイン名の登録、利用、廃止にあたっては、自社のブランドとして認識して管理すること
- 【要件23】 ◎:フィッシング詐欺対応に必要な機能を備えた組織編制とすること
- 【要件24】 ◎:フィッシング詐欺に関する報告窓口を設けること
- 【要件25】 ◎:フィッシング詐欺発生時の行動計画を策定すること
- 【要件26】 ◎:フィッシング詐欺の手法および対策に関わる最新の情報を収集すること
- 【要件27】 ◎:フィッシングサイト閉鎖体制の整備をしておくこと
- 【要件28】 ○:フィッシングサイトアクセスブロック体制の整備をしておくこと
- 【要件29】 ◎:利用者が実施すべきフィッシング詐欺対策啓発活動を行うこと
- 【要件30】 ◎:フィッシング詐欺発生時の利用者との通信手段を整備しておくこと
- 【要件31】 ○:Web サイトに対する不審なアクセスを監視すること
- 【要件32】 △:フィッシング詐欺検知に有効なサービスを活用すること
- 【要件33】 △:端末の安全性を確認すること
- 【要件34】 △:バウンスメールを監視すること
- 4.5 フィッシング詐欺被害が発生してしまった際の対策
5. 利用者におけるフィッシング詐欺対策
6. 付録
7. 検討メンバー
フィッシング対策について
テイクダウンについて
- サービスプロバイダー(フィッシングサイトを見つけ出して停止させる)
- Malicious Site Takedown & Countermeasures | Netcraft
- Appgate | Phishing Protection
- フィッシング対策サービス|株式会社ACSiON(アクシオン)
- Website Takedown Service And Phishing Protection | PhishFort
- Takedown-As-A-Service | Domain Takedown Service | ZeroFox
- Phishing Takedown < Anti-Phishing < Phishing Protection | PhishLabs
- Automated Website Takedown | Online Fraud & Phishing Prevention | Bolster
- Phishing - Digital Brand Protection – FraudWatch
- フィッシング疑惑のあるサイト報告
- Netcraft フィッシングサイト報告受付フォーム: Report Phishing, Malware and Suspicious URLs
- Googleフィッシングサイト報告受付フォーム: Report a Phishing Page
- NCSC(英国): GCHQ
- 警視庁 フィッシング110番: フィッシング110番
- Firefoxブラウザから報告する: 偽装サイトとマルウェアからの防護機能の動作 | Firefox ヘルプ
- フィッシング対策協議会 報告フォーム: フィッシング対策協議会 Council of Anti-Phishing Japan | 報告
- フィッシングサイトを停止させる手順書: Phishing: How To Take a Phishing Site Offline | Phishing Defined | Core Sentinel
Microsoft Exchange に関連した脆弱性および監査ログについてのメモ
メモURL
- Autodiscovering the Great Leak - Guardicore
- Microsoft Exchange Autodiscover bugs leak 100K Windows credentials
さらに今月に入ってMicrosoft Exchange Autodiscoveryの欠陥によって10万件におよぶクレデンシャル情報が漏洩していた可能性があることが報告されました。 この情報漏洩のメカニズムを理解するには、Microsoft Exchangeがサポートするメールアカウント構成情報の自動検出機能(Autodiscovery)の仕組みから説明していく必要がありますが、詳細は以下の研究者の報告や外部ソースをご参照ください。 Autodiscovering the Great Leak https://www.guardicore.com/labs/autodiscovering-the-great-leak/
Microsoft Exchange Autodiscover bugs leak 100K Windows credentials https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-autodiscover-bugs-leak-100k-windows-credentials/
研究者はこの欠陥を調査する過程で、今年の4月16日から8月25日の間に以下のような情報をキャプチャできたとしています。
・合計372,072件のWindows Domainのクレデンシャル情報 ・Outlook、モバイルメールクライアント、その他Exchangeサーバーと連携しているアプリケーションから漏洩した96,671件のユニークなクレデンシャル情報
これらの資格情報が収集できたドメインには、“中国市場で上場している企業、食品メーカー、投資銀行、発電所、電力供給、不動産、配送とロジスティクス、ファッションとジュエリー”などが含まれているようです。 さらにこれらの情報はネットワーク上においてプレーンテキストで転送されるため、仮に攻撃者がネットワーク内でスニッフィングする技術を有している場合には、容易にドメイン資格情報を取得できる重要なセキュリティ欠陥だと主張されています。
研究者は組織や開発者がこれらのMicrosoft Exchange Autodiscoverリークを軽減するために使用できるいくつかの提案を提供しています。
・Microsoft Exchangeを使用している組織の場合、ファイアウォールまたはDNSサーバーですべてのAutodiscover.(TLD)のドメインをブロックして、デバイスがそれらに接続できないようにする必要があります。 (研究チームは、アクセスルールの作成に使用できるすべての自動検出ドメインを含むテキストファイルを作成し、報告しています。前述のURLからご確認ください) ・Exchangeセットアップを構成する際に、組織は基本認証を無効にすることも推奨されています。これは、基本認証ではクリアテキストで資格情報を送信するためです。
富士急山中湖別荘地にみる山梨県の豪族政治
- 令和3年7月5日朝日新聞 夕刊 (現場へ!)富士山麓はだれのもの:1 別荘地「貸せない」、山梨の乱:朝日新聞デジタル
- ザックリ言うと
- 実はこの背景には...
- で、どういうこと?
- 県が住民から訴えられた形は取っていたが、実際には長崎(山梨県)県知事による仕掛けで、富士急に賃料値上げを迫る企てだったということになる。
- 実際、県有地を90年にわたって独占的に割安の価格で借り受けて稼いでいたことは批判を受けていた。
AWS Artifact を読むためのIAM設定
AWS Artifact を参照したいがどうすんねん...
AWS Artifact は、AWSのコンプライアンス関連の情報を集約したポータルです。 このポータルサービスから、AWSを監査したレポート等々を参照することで、運用透明性などなどを確認し信頼に足るかを判断する事が可能です。
ただし、各種レポートを参照するにはNDA含む契約をする必要がある為、AWS Console アカウントを作成してログインする。
また、レポートによって個別の契約(BAA、NDA)が必要となるため、IAM権限を持つアカウントのみが AWS Artifact を利用する事が出来る。
レポートを参照するためのIAMポリシー設定
こちらのユーザーガイドにある通りです。
AWS Artifact での IAM 〜AWS Artifactユーザーガイド〜
- IAMポリシーを作成する
- Artifact用のグループを作って、上記ポリシーをアタッチする
- ユーザーを上記グループに所属する
レポートを参照するだけの権限を与えるポリシー例
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "artifact:Get" ], "Resource": [ "arn:aws:artifact:::report-package/*" ] } ] }
IAMポリシーウィザードを使って、実際に割り当てたポリシー
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "artifact:Get", "artifact:DownloadAgreement" ], "Resource": "*", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "true" } } } ] }
AWS Artifact へのアクセス方法
- AWS Console にログインして Artifact にアクセスするだけです。
- https://console.aws.amazon.com/artifact/home
- ページ右上の辺りにある白枠「AWS Artifactの使用を開始る」内の「レポートの表示」をクリックすれば、各種のコンプライアンス関連レポートのリストが表示されます。
- レポートによっては、開示に当たって別途契約が必要になるものも有ります。
- 例えば SOC2 に関しては、利用者にのみ公開というもののようですのでフルオープンでは有りませんので、ここでの例示は出来ません。
- しかし、レポートを読むのは意外に面倒くさい
- ダウンロード出来るPDFにはウォーターマークが入っているので、Adobe Reader で開くことを求められてしまう...。