Googleは6月1日、Gmailを多く利用する数百人分のユーザーアカウントがセキュリティ侵害を受けたという異例の情報公開を行いました。ターゲットにされたアカウントの中には、米政府高官や中国の政治活動家、ジャーナリストのアカウントも含まれており、「スピア・フィッシング」と呼ばれる手法が使用されたと報道されています。
フィッシングとは、ソーシャルエンジニアリングを使用したサイバー詐欺の一例です。攻撃者は他人になりすまし、インターネットユーザーからユーザー名、パスワード、クレジットカードの詳細などの機密情報を引き出します。攻撃は通常、見た目は信頼できそうなメッセージ風のスパムメールとセットになっており、このメールが、合法サイトに似せた不正なWebページにユーザーを誘い出します。簡単なユーザー名とパスワードを使っているオンラインサービスの多くは、フィッシング詐欺でハッキングされるおそれがあります。
攻撃者は、個人情報を転売したり、入手したアカウント情報を使用してスパムメールを送信したりすることもあります。個人情報の転売やスパムメールが目的でない場合、攻撃者は、さらに照準を絞って、特定の人々のアカウントにアクセスしようとするでしょう。これが今回のケースで使用された、スピア・フィッシングという手法です。残念ながら、ユーザーを騙してリンクをクリックさせ、個人情報を入力させたり、悪意のあるファイルを開かせてユーザーのキーストロークをキャプチャしたりすることは、非常に簡単です。
Googleは、ユーザーが通常ログインするPCやログインする場所を特定する点検などのセキュリティ対策を実施しました。異なるPCやロケーションが使用されると警告を発するという対策も、これに含まれています。Facebookや多数のオンラインバンクなどでも類似の機能が用意されています。Googleは現在、2段階認証を用意しています。これは、電話と2つ目のパスワードを使用してGmailアカウントにサインインするという機能です。この種の認証機能は、すでに銀行などのセキュリティの厳重なオンラインサービスで採用されています。機密度の高い通信はメール経由で行われることが多いため、メールの安全性も適切に確保する必要があるというわけです。
フィッシング詐欺に遭わないために:
- 加入しているインターネットサービスプロバイダーが提供しているセキュリティ機能を使うこと
- インターネットを使用する時、特に個人情報を入力しようとしている際は、決して警戒を怠らないこと
- 不審なメール内のリンクをクリックしないこと
- 個人情報を入力する前に、Webサイトが信頼できるものかどうか念入りに確認すること。アドレスバーにいつもと違うアドレスが表示されていたり、サイトのデザインが少しおかしかったりすれば、不正サイトにアクセスしている可能性があります。
- OSやアプリケーションは常に更新を行うことで、既存の脆弱性を悪用されないようにすること
関連記事
- [2011/09/22] 「ナイジェリアの手紙」の犯行手口
- [2011/06/15] イタリアの金融機関を装うフィッシング詐欺
- [2011/01/28] 中国で、オンラインバンクをターゲットにした大規模なフィッシング攻撃を確認
- [2010/11/02] 増え続ける「World of Warcraft」のアカウントフィッシング詐欺
- [2010/10/07] EFTPSユーザーを狙ったフィッシング詐欺
- [2010/09/28] オンラインゲーム「World of Warcraft」を利用したフィッシング詐欺
- [2010/09/06] 最新のフィッシング詐欺にご注意を
- [2010/08/02] Amazonユーザーをターゲットにしたフィッシング攻撃
- [2010/06/21] サッカーロトを騙ったフィッシング詐欺が拡大
- [2010/05/06] Twitterユーザーをターゲットにするフィッシング攻撃
※本ページの内容はMcAfee Blogの抄訳です。
原文:Google Disclosure Spotlights Phishing Scams
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)