MicrosoftやAmazonよりもフィッシングで偽装されている“あのブランド”とは？：悪用される「著名ブランド」 その傾向と対策【前編】

フィッシングに悪用されがちなのが著名ブランドだ。どのブランドに注意が必要なのか。Check Point Software Technologiesが発表したフィッシングにおける「危ないブランド」トップ10を見る。

[Alex Scroxton，TechTarget]

　セキュリティベンダーのCheck Point Software Technologiesは2022年7月19日（米国時間）、2022年第2四半期（4月〜6月）のブランドフィッシング（著名ブランドを悪用し、機密情報を狙う詐欺）に関するレポート「Brand Phishing Report for Q2 2022」を発表した。企業は攻撃者にだまされないために、どのブランドに注意する必要があるのか。

ワースト1位はMicrosoftでもAmazonでもない“あのブランド”

併せて読みたいお薦め記事

フィッシングに対抗するためには

• “最大の敵”は社員？　「標的型フィッシング攻撃」対策が難しい理由
• 無線LANの不正APを使った攻撃「悪魔の双子」「APフィッシング」とは

　2022年第2四半期、ブランドフィッシングの攻撃者による著名IT企業のブランド悪用が「著しく増加した」とCheck Point Software Technologiesはみる。同社によると、2022年第2四半期にブランドフィッシングに悪用されたブランド第1位は、ビジネス特化型SNS「LinkedIn」だった。ブランドフィッシング全体の45％を占めたという。13％を占めたMicrosoftが2位に入り、輸送企業DHL（Deutsche Post DHL Group）の12％を上回った。

　Check Point Software Technologiesの脅威分析技術「ThreatCloud」を使って抽出したデータに基づく2022年第2四半期の偽装対象ブランドのトップ10は、下記の通りだ。

• 1位：LinkedIn（45％）
• 2位：Microsoft（13％）
• 3位：DHL（12％）
• 4位：Amazon（Amazon.com）（9％）
• 5位：Apple（3％）
• 6位：Adidas（2％）
• 7位：Google（1％）
• 8位：Netflix（1％）
• 9位：Adobe（1％）
• 10位：HSBC（1％）

　フィッシングメールは「攻撃手法として広がっている」と、Check Point Software Technologiesのデータリサーチグループマネジャー、オマー・デンビンスキー氏は語る。フィッシングメールは高度な技術を必要としない上、比較的低コストで多数のエンドユーザーを標的にできるからだ。デンビンスキー氏は「著名ブランドの信用を悪用することでエンドユーザーに安心感を与え、機密情報が引き出しやすくなる」と、ブランドフィッシングがエンドユーザーに及ぼす心理的な影響を語る。

　デンビンスキー氏によれば、ブランドフィッシングは成功しやすい傾向にある。エンドユーザーはだまされないために、著名ブランドでもすぐに信用せず、文法の誤りやスペルミス、不審なドメイン名がないかどうかを確認することが重要だ。疑わしい場合はメール内のリンクをクリックせず、ブランドの公式Webサイトに直接アクセスした方がよいと同氏は説明する。

　セキュリティベンダーESETのグローバルサイバーセキュリティアドバイザーを務めるジェイク・ムーア氏は、「エンドユーザーは著名ブランドについ関心を持ち、そのメールが本物かどうか確かめずにすぐ行動を起こす傾向がある」と言う。対策として、エンドユーザーはブランドフィッシングのリスクを意識し、ログインを求めるリンクが記載されたメールを無視することが大切だとムーア氏は注意を促す。

---

　後編は、LinkedInを悪用したブランドフィッシングの具体例を紹介する。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。