広がるスピアフィッシングの脅威から守るために

ゲームサイトの「セガ パス」がハッキングされました。セガ パスのWebサイトには、「セガ パスのデータベースへの不正侵入が確認されました」と書かれています。メディア各社は、ハッカーがセガ パスのメンバーのメールアドレス、誕生日、暗号化されたパスワードを盗み出したと報道しています。この盗まれたデータは、ハッカーにより更なる情報を引き出すためにスピアフィッシングに使用される可能性があります。

先日のEpsilonのデータ侵害事件でも、同様のデータ漏えいが発生しました。Epsilonは毎年400億通以上のメールを送信しているマーケティング会社で、何百万人もの消費者のメールアドレスをファイルに保存しています。ハッカーがEpsilonのデータベースに侵入した際、100社以上の大手企業を含むメーリングリストが乗っ取られました。

ユーザーは、シティグループ、Capital One、JPモルガン・チェースをはじめとする金融機関、マリオット、ヒルトンなどのホテルからデータ侵害の通知を受け取りました。これらの企業のユーザーは全員、スピアフィッシング詐欺の標的にされる可能性があります。

また最近では、処方薬、市販薬を扱うグラクソ・スミスクラインのWebサイトに登録したユーザーに対し、ユーザーの名前、メールアドレスがハッキングされたこと、また、盗まれたデータにはユーザーが登録した特定の製品のWebサイトも含まれる可能性があることを警告する通知がグラクソ・スミスクラインからメールで送信されたとの報道がありました。グラクソ・スミスクラインは、エイズ患者、精神障害者のための医薬品を提供しています。盗まれたデータが患者を標的にしたスピアフィッシング攻撃に使われる可能性があることが、今世界中で大きな懸念事項となっています。

スピアフィッシングとは、特定のターゲットに対し、そのターゲット向けに手法をカスタマイズして重要なデータや個人情報を奪おうとするフィッシング詐欺です。ハッカーは、ユーザー名とメールアドレスを手に入れるとすぐに、スピアフィッシングでユーザーの機密情報を狙うことが可能です。ハッカーは侵入した企業や団体から送信されるメールキャンペーンのデザインを真似たり、手に入れたリストに記載されているユーザーに「アカウントの更新」を促すメールを送信したりすることで、ターゲットに罠を仕掛けます。

このようなスピアフィッシングから身を守るためには、まずは、未承諾メールに応じて個人情報やログイン資格情報などを公開しないように気をつける必要があります。また、未承諾メールのリンクを絶対にクリックせず、ブックマークメニューを使うか、ブラウザのアドレスバーに自分で入力することも重要です。メールアドレスが乗っ取られた場合、新しいアドレスへの切り替えを検討しても良いでしょう。最後に適切なパスワード運用も忘れてはいけません。複数のアカウントに同じパスワードを使わず、毎回新しいパスワードを忘れずに作成してください。

関連記事

※本ページの内容はMcAfee Blogの抄訳です。
原文:Spear Phishing Leaves a Bloody Wound

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速