ヒントとアドバイス

最近流行のフィッシング詐欺の被害を避けましょう: Gmail のハッキングから学ぶ教訓

Natasha Pearce, 2017年7月24日

メール詐欺は手口がかつてなく巧妙になっています。アバストより、犯罪的な詐欺師が好んで使う仕掛けの裏をかく方法についてお伝えします。

「こんにちは、yourfriendjanedoe@janedoe.com 様より、共有された次の文書の編集に招待されています。」

見覚えがありますか (もちろん、「差出人」行にあるあなたの実在の友達の名前を除いて!)? ほとんどの人々にとって、知り合いがファイルの共有を希望しているという通知をメールで受けるのが普通になっており、添付ファイルは過去のものになりつつあります。この種のメッセージが一般的になったため、ハッカーが連絡先情報、パスワードやオンラインの個人情報をフィッシング詐欺で入手する新たな方法ともなっています。

新しいフィッシング攻撃で使われるおとりが巧妙化

5 月に発生した大規模な Gmail フィッシング攻撃では、ほんの 1 時間 (攻撃が開始されてから Google が悪質なアカウントを無効にして脆弱性を修復するまで) の間に 100 万人以上のユーザーが攻撃を受けました。このケースでは、件名の行は Google が送信する本物の共有ドキュメント メールのものと 100% 同じではありませんでしたが、[Docs で表示] ボタンは本物らしく見えたため、疑いを持たない受信者は簡単に騙されてしまいました。そして、被害者がリンクをクリックすると Google のログイン ページに移動し、ユーザーのアカウントへのアクセス権限を「Google Docs」に付与するために認証情報を入力するよう求められました。

高度化されたこの攻撃は、メールのヘッダー情報に目を通し、既知のメール アドレスからのメッセージは無意識的に開くという、ほとんどの人々が持っている習慣につけこんだものです。このケースで被害を避けるためには、メッセージの送信者が連絡先リストにある人ではあっても、「宛先」が偽物であることに気付く必要がありました。メールの宛先はすべて hhhhhhhhhhhhhhhh@mailinator.com になっていたのです。実際の受信者はすべて Bcc になっていました。

悪意のあるリンクをクリックした人は皆、連絡先、パスワード、他のアカウントの認証など、自分の Gmail アカウント全体へのアクセス権限をハッカーに与えてしまいました。この攻撃が非常に短時間で拡散したのは、これが理由です。また、この種の攻撃では OAuth と呼ばれるトークン (2014 年に Microsoft、Google、Facebook、および Twitter で被害) を生成することにより、メールやソーシャル メディア アカウントに複数のデバイスでログインしたままにするというほとんどの人々の傾向を悪用します。

もはやメールだけが問題ではない理由

恐らく、悪意のあるメールを避けるための下記のヒントを読んだ覚えがおありかと思いますが、これに従うことにより、世間に流布している脅威のほとんどを防ぐことができますので、今一度お読みになってください。

  1. 偽のメールを見分ける方法を知る。ヘッダー(宛先差出人Cc などの項目)、送信者または受信者のメール アドレスにスペルミスやおかしな文字がある … これはすべて危険信号です。ご自分のメール アドレスが Bcc 欄のみに記載されている場合も気を付ける必要があります。メッセージが本物であるかどうか、別のメール (職場では IT 部門のメール アカウントを使用) で送信者に確認を取ってください。
  2. 2 要素認証を使用する。これは、強力なパスワードを使用した上での 2 番目の保護層だと考えてください。誰かがユーザーのアカウントをハッキングしようとした場合、2 要素認証であればメール アドレスと電話番号の両方での本人確認が必要になります。

しかし、5 月に発生した「OAuth」攻撃の卑劣な点は、2 要素認証ではユーザーの安全を守れないことです。

このため、ウェブベースのメールまたはオンライン プラットフォームを使用する場合は、もう 1 つの習慣を身に付ける必要があります。それは、ログオフすることです。

ログオフすることが最も安全な選択肢である理由

「OAuth」の悪用を打ち負かすには、Facebook、Twitter、LinkedIn、Gmail、Instagram など、ログインを必要とするあらゆるサービスからログオフしてください。使い終わったら毎回、必ずログオフするのです。「トムのガイド」からの引用ですが、「次回またログインしなければならず、多少面倒ではありますが、少なくとも他人が自分のトークンを盗んで、許可なしにログインすることは不可能なので安心できます。」

ご自分のメール アカウントがメール フィッシングから保護されていることを確認して安心感を得たいと考える場合は、もう 1 つの点に注意を払う必要があります。強力で信頼できるフィッシング対策ソフトウェアをダウンロードすることです。アバスト インターネット セキュリティは、ユーザーのデバイスを綿密にモニタリングすることによってメール詐欺を検出し、その脅威が動作を始める前にブロックします。

5 月に発生した Gmail 攻撃が最後のものとなる可能性は低いことを考えると、メールだけではなく、オンライン プラットフォームの利用習慣も徹底的に見直すことが、実行すべき緊急の課題となります。サイバー犯罪者が人々の情報を盗む新しい方法を見つけたり、作り出したりし続けるからと言って、私たちがその餌食になる必要はないのです。

画像: TaxCredits.net

ディスカッション (0)