フィッシング詐欺に遭わないために:Gmailハッキング事件から得られる教訓

Googleは6月1日、Gmailを多く利用する数百人分のユーザーアカウントがセキュリティ侵害を受けたという異例の情報公開を行いました。ターゲットにされたアカウントの中には、米政府高官や中国の政治活動家、ジャーナリストのアカウントも含まれており、「スピア・フィッシング」と呼ばれる手法が使用されたと報道されています。

フィッシングとは、ソーシャルエンジニアリングを使用したサイバー詐欺の一例です。攻撃者は他人になりすまし、インターネットユーザーからユーザー名、パスワード、クレジットカードの詳細などの機密情報を引き出します。攻撃は通常、見た目は信頼できそうなメッセージ風のスパムメールとセットになっており、このメールが、合法サイトに似せた不正なWebページにユーザーを誘い出します。簡単なユーザー名とパスワードを使っているオンラインサービスの多くは、フィッシング詐欺でハッキングされるおそれがあります。

攻撃者は、個人情報を転売したり、入手したアカウント情報を使用してスパムメールを送信したりすることもあります。個人情報の転売やスパムメールが目的でない場合、攻撃者は、さらに照準を絞って、特定の人々のアカウントにアクセスしようとするでしょう。これが今回のケースで使用された、スピア・フィッシングという手法です。残念ながら、ユーザーを騙してリンクをクリックさせ、個人情報を入力させたり、悪意のあるファイルを開かせてユーザーのキーストロークをキャプチャしたりすることは、非常に簡単です。

Googleは、ユーザーが通常ログインするPCやログインする場所を特定する点検などのセキュリティ対策を実施しました。異なるPCやロケーションが使用されると警告を発するという対策も、これに含まれています。Facebookや多数のオンラインバンクなどでも類似の機能が用意されています。Googleは現在、2段階認証を用意しています。これは、電話と2つ目のパスワードを使用してGmailアカウントにサインインするという機能です。この種の認証機能は、すでに銀行などのセキュリティの厳重なオンラインサービスで採用されています。機密度の高い通信はメール経由で行われることが多いため、メールの安全性も適切に確保する必要があるというわけです。

フィッシング詐欺に遭わないために:

  • 加入しているインターネットサービスプロバイダーが提供しているセキュリティ機能を使うこと
  • インターネットを使用する時、特に個人情報を入力しようとしている際は、決して警戒を怠らないこと
  • 不審なメール内のリンクをクリックしないこと
  • 個人情報を入力する前に、Webサイトが信頼できるものかどうか念入りに確認すること。アドレスバーにいつもと違うアドレスが表示されていたり、サイトのデザインが少しおかしかったりすれば、不正サイトにアクセスしている可能性があります。
  • OSやアプリケーションは常に更新を行うことで、既存の脆弱性を悪用されないようにすること

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速