攻撃者は著名ブランドを悪用し、巧みな手口で標的の機密情報を狙っている。著名なブランド名だから安心、の考えは危険だ。ブランドフィッシングの被害を避けるためにはどうすればいいのか。
著名ブランドを悪用し、機密情報を狙うブランドフィッシングが猛威を振るっている。悪用されがちな“人気ブランド”を分析したセキュリティベンダーCheck Point Software Technologiesは、著名なブランド名にだまされないよう注意を呼び掛けている。ブランドフィッシングの実態と、“わな”にはまらないための注意点とは。
Check Point Software Technologiesは2022年7月19日(米国時間)、2022年第2四半期(4月〜6月)のブランドフィッシングに関するレポート「Brand Phishing Report for Q2 2022」を発表した。悪用されるブランドの1位になったのは、ビジネス特化型ソーシャルネットワーキングサービス(SNS)「LinkedIn」だ。続いて「Microsoft」「DHL」「Amazon(Amazon.com)」といった、ITや輸送のブランドがランクインした。
一般にブランドフィッシングは、エンドユーザーがなじみのあるブランド名に「絶対的な信頼」を寄せていることを利用する。画像や文章を本物のブランドに見せかけたメールを送信し、エンドユーザーに不正URLをクリックさせる仕組みだ。ブランドフィッシングは、割引の機会を逃したくないといった心理を悪用し、エンドユーザーの切迫感を募らせることでクリックを促すこともある。
Check Point Software Technologiesのランキングで上位に入っているブランドが悪用された攻撃事例を見ると、なりすましの工夫が奏功していることがうかがえる。例えばLinkedInの名称を使ったブランドフィッシングでは、LinkedInの本物のメールを模倣し、「あなたは今週○○回、検索結果に表示されました」「○○件の新しいメッセージがあります」といった表現が使用される傾向があるという。
LinkedInを利用する主なエンドユーザーが求職者であることも、ブランドフィッシングを成功させる追い風になっている。北朝鮮のサイバー犯罪グループ「Lazarus」は企業からの採用通知に見せかけたメールを送り、即座のクリックを狙う手口で知られている。
Check Point Software Technologies によれば、Microsoftの名称を悪用したブランドフィッシングが広がっている。このブランドフィッシングは、LinkedInを装うブランドフィッシングより危険だと同社は指摘する。企業でMicrosoft製品が広く普及しているため、エンドユーザーがMicrosoftからのメールを盲信してしまう恐れがあるからだ。最近は新型コロナウイルス感染症(COVID-19)のパンデミック(世界的大流行)の影響で、メールや予定管理ができるサービス「Outlook Web App」(OWA)といったテレワークに使われるツールのログイン情報が攻撃者の関心を引きやすい。
DHL(Deutsche Post DHL Group)をはじめ、輸送企業の名称を悪用したブランドフィッシングの拡大にも、パンデミックが影響したとCheck Point Software Technologiesはみている。通信販売の利用拡大を受け、攻撃者は配送に関する情報や不在通知を偽装する傾向がある。そのためCheck Point Software TechnologiesがまとめたブランドのランキングではAmazonも4位に入っている。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
AIの進化が加速する「プラットフォームビジネス」とは?
マーケットプレイス構築を支援するMiraklが日本で初のイベントを開催し、新たな成長戦略...
「マーケティングオートメーション」 国内売れ筋TOP10(2024年12月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
2024年の消費者購買行動変化 「日本酒」に注目してみると……
2023年と比較して2024年の消費者の購買行動にはどのような変化があったのか。カタリナマ...