攻撃者は著名ブランドを悪用し、巧みな手口で標的の機密情報を狙っている。著名なブランド名だから安心、の考えは危険だ。ブランドフィッシングの被害を避けるためにはどうすればいいのか。
著名ブランドを悪用し、機密情報を狙うブランドフィッシングが猛威を振るっている。悪用されがちな“人気ブランド”を分析したセキュリティベンダーCheck Point Software Technologiesは、著名なブランド名にだまされないよう注意を呼び掛けている。ブランドフィッシングの実態と、“わな”にはまらないための注意点とは。
Check Point Software Technologiesは2022年7月19日(米国時間)、2022年第2四半期(4月〜6月)のブランドフィッシングに関するレポート「Brand Phishing Report for Q2 2022」を発表した。悪用されるブランドの1位になったのは、ビジネス特化型ソーシャルネットワーキングサービス(SNS)「LinkedIn」だ。続いて「Microsoft」「DHL」「Amazon(Amazon.com)」といった、ITや輸送のブランドがランクインした。
一般にブランドフィッシングは、エンドユーザーがなじみのあるブランド名に「絶対的な信頼」を寄せていることを利用する。画像や文章を本物のブランドに見せかけたメールを送信し、エンドユーザーに不正URLをクリックさせる仕組みだ。ブランドフィッシングは、割引の機会を逃したくないといった心理を悪用し、エンドユーザーの切迫感を募らせることでクリックを促すこともある。
Check Point Software Technologiesのランキングで上位に入っているブランドが悪用された攻撃事例を見ると、なりすましの工夫が奏功していることがうかがえる。例えばLinkedInの名称を使ったブランドフィッシングでは、LinkedInの本物のメールを模倣し、「あなたは今週○○回、検索結果に表示されました」「○○件の新しいメッセージがあります」といった表現が使用される傾向があるという。
LinkedInを利用する主なエンドユーザーが求職者であることも、ブランドフィッシングを成功させる追い風になっている。北朝鮮のサイバー犯罪グループ「Lazarus」は企業からの採用通知に見せかけたメールを送り、即座のクリックを狙う手口で知られている。
Check Point Software Technologies によれば、Microsoftの名称を悪用したブランドフィッシングが広がっている。このブランドフィッシングは、LinkedInを装うブランドフィッシングより危険だと同社は指摘する。企業でMicrosoft製品が広く普及しているため、エンドユーザーがMicrosoftからのメールを盲信してしまう恐れがあるからだ。最近は新型コロナウイルス感染症(COVID-19)のパンデミック(世界的大流行)の影響で、メールや予定管理ができるサービス「Outlook Web App」(OWA)といったテレワークに使われるツールのログイン情報が攻撃者の関心を引きやすい。
DHL(Deutsche Post DHL Group)をはじめ、輸送企業の名称を悪用したブランドフィッシングの拡大にも、パンデミックが影響したとCheck Point Software Technologiesはみている。通信販売の利用拡大を受け、攻撃者は配送に関する情報や不在通知を偽装する傾向がある。そのためCheck Point Software TechnologiesがまとめたブランドのランキングではAmazonも4位に入っている。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
HubSpot CMSにWebサイトの「定石」を実装 WACUL×100のパッケージ第1弾を提供開始
WACULと100は共同で、Webサイトの「定石」をHubSpotで実装する「Webサイト構築パッケージ...
電通調査で「料理は面倒」が6割超 なぜそうなった?
電通の国内電通グループ横断プロジェクト「電通 食生活ラボ」は、「食生活に関する生活者...
売り上げは予想の11倍 英国の老舗銀行がデータの分断を乗り越えて実現した「オムニチャネルバンキング」とは?
金融業界において、最新のイノベーションの活用によって銀行業務の現状と可能性に関する...