ITやオンラインサービスの進化に比例して、さまざまな手法が開発されているフィッシング詐欺。なりすましや偽サイトを発端として、個人情報を入力させたり特定の口座に送金させたりする攻撃が多いが、昨今は実在するビジネス向けサイトを活用するフィッシングが横行しているようだ。
会社組織を狙う「BEC攻撃」が増加
最終的に資格情報を収集するページへ誘導される。ハッカーによる巧妙な詐欺手口に注意!(画像は「チェック・ポイント・ソフトウェア・テクノロジーズ株式会社」プレスリリースより引用)
サイバーセキュリティソリューションに取り組むチェック・ポイント・ソフトウェア・テクノロジーズ株式会社(以下チェック・ポイント)は、Dropboxを騙るフィッシングが急増していることを発表。9月前半の2週間だけでも、5,550件の攻撃が行われたことを明かしている。
一連の攻撃は、Dropboxの偽のログインページを用意し、そのページから最終的にクレジットカード情報などを入力させるページに誘導させるという手法が用いられている。このように、会社組織を対象に、偽メールや偽サイトを用いてお金を送金させる詐欺を「BEC(Business Email Compromise)攻撃」と呼ぶ。
なかでも、Dropboxといった一般的なビジネス向けサービスをフィッシングの“餌”としているものは「BEC 3.0攻撃」と呼ばれ、この攻撃の被害にあう人が増加しているそうだ。電子メールのセキュリティサービスが検知するのは難しいため、とくに注意が必要だといえよう。
巧妙なフィッシングに引っかからないためにすべきことは?
BEC 3.0はセキュリティサービスをすり抜けるため、注意喚起も表示されないケースが多い
過去のBEC攻撃は、企業の上司を装ってギフトカードなどを購入させる「BEC 1.0」や、関係者のアカウントをハッキングし、その従業員を騙って、企業の経理部門やパートナー企業に送金させるという「BEC 2.0」が主な手法であった。これらはなりすましアカウントや偽サイトのリンクなどを検出することができるものが多く、警戒すれば防げる可能性の高い攻撃だったようだ。
しかし、近年増加しているBEC 3.0は合法的なサービスを活用した攻撃であるため、セキュリティサービスをすり抜けるケースが多く、「ユーザーが気づいたときにはすでに手遅れ」という事態につながりやすい。こうした被害を防ぐために重要なのが、社員にBEC 3.0を認知させ、組織全体のフィッシングへの意識を高めることだ。
リンクが送られてきてもアクセスする前に一度「送り主を知っているか」などの疑念を抱くことで、重大な被害につながる未来を避けられるかもしれない。
出典元:【チェック・ポイント・ソフトウェア・テクノロジーズ株式会社/PR TIMES】
※サムネイル画像(Image:T. Schneider / Shutterstock.com)
