インターネットサービスプロバイダー(ISP)の委託業者を名乗り、電話でサービス利用者のIDやパスワードを聞き出そうとするソーシャルエンジニアリング行為(*1)が報告されている。JPCERTコーディネーションセンター(JPCERT/CC)が14日、注意喚起を呼びかけた。
同センターによると、ISPの委託業者になりすました者が電話をかけてきて、ISPがスパム対策として導入しているOP25Bの設定変更案内を装い、サービス利用者のIDやパスワードの回答を促すという。また、会話の流れのなかで、契約しているISP名を聞き出そうとする。
JPCERT/CCでは、実際にこのような電話を受けた場合、パスワード等を回答しないよう呼びかけるとともに、万が一回答してしまった場合には、加入しているISPへの連絡や、パスワードの変更を推奨している。
*1)ソーシャルエンジニアリング
人間の心理的な弱点を突いて、パスワードなどコンピュータに侵入するための
情報を盗み出すこと。具体的には、情報を持った人の関係者になりすまし、電話
でIDやパスワードを聞き出すなどの行為を指す。
(2007/06/18 ネットセキュリティニュース)
■ID やパスワードを聞き出そうとする電話に関する注意喚起(JPCERT/CC)
http://www.jpcert.or.jp/at/2007/at070015.txt
■JPCERTコーディネーションセンター(JPCERT/CC)
http://www.jpcert.or.jp/
■ソーシャルエンジニアリングの対策(総務省情報通信政策局情報セキュリティ対策室)
http://www.soumu.go.jp/joho_tsusin/security/business/work05.htm