ゲームサイトの「セガ パス」がハッキングされました。セガ パスのWebサイトには、「セガ パスのデータベースへの不正侵入が確認されました」と書かれています。メディア各社は、ハッカーがセガ パスのメンバーのメールアドレス、誕生日、暗号化されたパスワードを盗み出したと報道しています。この盗まれたデータは、ハッカーにより更なる情報を引き出すためにスピアフィッシングに使用される可能性があります。
先日のEpsilonのデータ侵害事件でも、同様のデータ漏えいが発生しました。Epsilonは毎年400億通以上のメールを送信しているマーケティング会社で、何百万人もの消費者のメールアドレスをファイルに保存しています。ハッカーがEpsilonのデータベースに侵入した際、100社以上の大手企業を含むメーリングリストが乗っ取られました。
ユーザーは、シティグループ、Capital One、JPモルガン・チェースをはじめとする金融機関、マリオット、ヒルトンなどのホテルからデータ侵害の通知を受け取りました。これらの企業のユーザーは全員、スピアフィッシング詐欺の標的にされる可能性があります。
また最近では、処方薬、市販薬を扱うグラクソ・スミスクラインのWebサイトに登録したユーザーに対し、ユーザーの名前、メールアドレスがハッキングされたこと、また、盗まれたデータにはユーザーが登録した特定の製品のWebサイトも含まれる可能性があることを警告する通知がグラクソ・スミスクラインからメールで送信されたとの報道がありました。グラクソ・スミスクラインは、エイズ患者、精神障害者のための医薬品を提供しています。盗まれたデータが患者を標的にしたスピアフィッシング攻撃に使われる可能性があることが、今世界中で大きな懸念事項となっています。
スピアフィッシングとは、特定のターゲットに対し、そのターゲット向けに手法をカスタマイズして重要なデータや個人情報を奪おうとするフィッシング詐欺です。ハッカーは、ユーザー名とメールアドレスを手に入れるとすぐに、スピアフィッシングでユーザーの機密情報を狙うことが可能です。ハッカーは侵入した企業や団体から送信されるメールキャンペーンのデザインを真似たり、手に入れたリストに記載されているユーザーに「アカウントの更新」を促すメールを送信したりすることで、ターゲットに罠を仕掛けます。
このようなスピアフィッシングから身を守るためには、まずは、未承諾メールに応じて個人情報やログイン資格情報などを公開しないように気をつける必要があります。また、未承諾メールのリンクを絶対にクリックせず、ブックマークメニューを使うか、ブラウザのアドレスバーに自分で入力することも重要です。メールアドレスが乗っ取られた場合、新しいアドレスへの切り替えを検討しても良いでしょう。最後に適切なパスワード運用も忘れてはいけません。複数のアカウントに同じパスワードを使わず、毎回新しいパスワードを忘れずに作成してください。
関連記事
- [2012/04/05] フィッシング詐欺にかからないための安全の手引き
※本ページの内容はMcAfee Blogの抄訳です。
原文:Spear Phishing Leaves a Bloody Wound
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)