“安心のブランド”から不安を生み出す「ブランドフィッシング」驚愕の手口：悪用される「著名ブランド」 その傾向と対策【後編】

攻撃者は著名ブランドを悪用し、巧みな手口で標的の機密情報を狙っている。著名なブランド名だから安心、の考えは危険だ。ブランドフィッシングの被害を避けるためにはどうすればいいのか。

[Alex Scroxton，TechTarget]

　著名ブランドを悪用し、機密情報を狙うブランドフィッシングが猛威を振るっている。悪用されがちな“人気ブランド”を分析したセキュリティベンダーCheck Point Software Technologiesは、著名なブランド名にだまされないよう注意を呼び掛けている。ブランドフィッシングの実態と、“わな”にはまらないための注意点とは。

「ブランドフィッシング」驚愕の手口　被害を減らす方法は？

併せて読みたいお薦め記事

連載：悪用される「著名ブランド」　その傾向と対策

• 前編：MicrosoftやAmazonよりもフィッシングで偽装されている“あのブランド”とは？

フィッシングに対抗するためには

• “最大の敵”は社員？　「標的型フィッシング攻撃」対策が難しい理由
• 無線LANの不正APを使った攻撃「悪魔の双子」「APフィッシング」とは

　Check Point Software Technologiesは2022年7月19日（米国時間）、2022年第2四半期（4月〜6月）のブランドフィッシングに関するレポート「Brand Phishing Report for Q2 2022」を発表した。悪用されるブランドの1位になったのは、ビジネス特化型ソーシャルネットワーキングサービス（SNS）「LinkedIn」だ。続いて「Microsoft」「DHL」「Amazon（Amazon.com）」といった、ITや輸送のブランドがランクインした。

　一般にブランドフィッシングは、エンドユーザーがなじみのあるブランド名に「絶対的な信頼」を寄せていることを利用する。画像や文章を本物のブランドに見せかけたメールを送信し、エンドユーザーに不正URLをクリックさせる仕組みだ。ブランドフィッシングは、割引の機会を逃したくないといった心理を悪用し、エンドユーザーの切迫感を募らせることでクリックを促すこともある。

　Check Point Software Technologiesのランキングで上位に入っているブランドが悪用された攻撃事例を見ると、なりすましの工夫が奏功していることがうかがえる。例えばLinkedInの名称を使ったブランドフィッシングでは、LinkedInの本物のメールを模倣し、「あなたは今週○○回、検索結果に表示されました」「○○件の新しいメッセージがあります」といった表現が使用される傾向があるという。

　LinkedInを利用する主なエンドユーザーが求職者であることも、ブランドフィッシングを成功させる追い風になっている。北朝鮮のサイバー犯罪グループ「Lazarus」は企業からの採用通知に見せかけたメールを送り、即座のクリックを狙う手口で知られている。

　Check Point Software Technologies によれば、Microsoftの名称を悪用したブランドフィッシングが広がっている。このブランドフィッシングは、LinkedInを装うブランドフィッシングより危険だと同社は指摘する。企業でMicrosoft製品が広く普及しているため、エンドユーザーがMicrosoftからのメールを盲信してしまう恐れがあるからだ。最近は新型コロナウイルス感染症（COVID-19）のパンデミック（世界的大流行）の影響で、メールや予定管理ができるサービス「Outlook Web App」（OWA）といったテレワークに使われるツールのログイン情報が攻撃者の関心を引きやすい。

　DHL（Deutsche Post DHL Group）をはじめ、輸送企業の名称を悪用したブランドフィッシングの拡大にも、パンデミックが影響したとCheck Point Software Technologiesはみている。通信販売の利用拡大を受け、攻撃者は配送に関する情報や不在通知を偽装する傾向がある。そのためCheck Point Software TechnologiesがまとめたブランドのランキングではAmazonも4位に入っている。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。