世界一受けたい授業「フィッシング詐欺の見破り方」が、詐欺被害を助長しかねない件
2020/1/18(土) 日本テレビ系『世界一受けたい授業(@seka1jugyou_ntv)』にて、フィッシング詐欺の見破り方と称する手法が放送されました。しかしこの手法は、誤ってフィッシングサイトへアクセスする可能性を引き上げる「極めて危険」なものです。また、フィッシング詐欺対策を行っている各種団体や多くのセキュリティエンジニアも、このような手法は推奨していません。 (@u_1ch1 さんより、画像を提供頂きました)
2020/1/18(土) 日本テレビ系『世界一受けたい授業(@seka1jugyou_ntv)』にて、フィッシング詐欺の見破り方と称する手法が放送されました。しかしこの手法は、誤ってフィッシングサイトへアクセスする可能性を引き上げる「極めて危険」なものです。また、フィッシング詐欺対策を行っている各種団体や多くのセキュリティエンジニアも、このような手法は推奨していません。 (@u_1ch1 さんより、画像を提供頂きました)
パスワードを使わないパスワードレス認証であるパスキーを推進するFIDO Allianceは会見を開き、既に70億を超えるオンラインアカウントがパスキー利用可能な状態になって、利用が拡大していることをアピールした。国内でも利用が拡大しており、新たにメルカリがボードメンバーに加盟し、住信SBIネット銀行がアライアンスに加盟した。 FIDO Allianceの1年の取り組みが紹介された。写真左からメルカリ執行役員CISO市原尚久氏、LINEヤフーLY会員サービス統括本部ID本部本部長伊藤雄哉氏、FIDO Japan WG座長でNTTドコモのチーフ・セキュリティ・アーキテクト森山光一氏、FIDO Allianceエグゼクティブディレクター兼最高マーケティング責任者のアンドリュー・シキア氏、FIDO Alliance FIDO2技術作業部会共同座長でGoogle ID&セキュリティプロダクトマネージ
だがWebブラウザーのセキュリティーは年々強化され、こういった手口はほとんど使えなくなった。このため前述のようにアドレスバーの表示を確認することが、偽サイトに誘導されないための有効な対策になっている。 今回「mr.d0x」を名乗るセキュリティー研究者が警鐘を鳴らすのは、Webブラウザーが表示するポップアップウインドウ(Webブラウザーウインドウ)である。Webブラウザーのアドレスバーではなく、ポップアップウインドウのアドレスバーを偽装する。アドレスバー付きのポップアップウインドウは「Webブラウザーが表示するWebブラウザー」といえるので、この手口はBrowser In The Browser(BITB)攻撃と名付けられた。 BITB攻撃の主な対象となるのは、ソーシャルログインのログイン画面である。ソーシャルログインとは、SNSのアカウントで別のWebサービスにログインできるようにする仕組
2023年3月30日、名刺管理サービスを提供するSansanは、同社になりすました不審な電話やメールが確認されているとして利用組織に対して注意を呼びかけました。その後、この注意喚起に関連して実際に被害に遭ったとみられる企業が名刺管理システムからの情報流出の公表を行っています。ここでは関連する情報をまとめます。 運営会社になりすました人物から電話後にフィッシングメール 不正アクセス被害を公表したのは川崎設備工業。名刺管理システム上に登録された名刺情報6万6214件が流出した。名刺情報には氏名、会社名、役職、会社住所、電話番号、メールアドレス等が含まれていたが、公表時点では流出した情報の悪用(営業メールや電話等の発生)は確認されていない。 不正アクセスは2月13日の同社従業員への電話連絡から始まった。電話をかけてきた人物は、Sansanの従業員になりすまし、川崎設備工業からその従業員に対して2
はじめに 弊社では、最近BEC(ビジネスメール詐欺)のインシデント対応を行いました。この事案に対応する中で、マイクロソフト社(*1)やZscaler社(*2)が22年7月に相次いで報告したBECに繋がる大規模なフィッシングキャンペーンに該当していた可能性に気づきました。マイクロソフトによると標的は10,000 以上の組織であるということから、皆様の組織でもキャンペーンの標的となっている可能性や、タイトルの通りMFA(多要素認証)を実施していたとしても、不正にログインされる可能性もあり、注意喚起の意味を込めてキャンペーンに関する情報、および実際に弊社での調査について公開可能な部分を記載しています。 *1: https://www.microsoft.com/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm
徳丸氏が探る“認証”の今――サイバー攻撃の認証突破テクニック、フィッシング、そして対抗策とは:ITmedia Security Week 2023 冬 2023年11月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「多要素認証から始めるID管理・統制」ゾーンで、イー・ガーディアングループCISO(最高情報セキュリティ責任者)兼 EGセキュアソリューションズ 取締役 CTO(最高技術責任者)の徳丸浩氏が「認証の常識が変わる――認証強化の落とし穴と今必要な施策」と題して講演した。「認証」をキーワードとし、これまでパスワードに頼り切りだった古典的な手法による認証システムが攻撃される中、新たな技術でどこまで人と情報を守れるのか。認証の現状と今必要な対策を語るセッションだ。本稿では、講演内容を要約する。
JR西日本は3日夜、ホームページの一部が何者かに改ざんされ、利用者にクレジットカードの情報などを入力するよう誘導する、いわゆる「フィッシング詐欺」のサイトが表示される状態になっていたと発表しました。 ここにアクセスすると、アンケートへの回答を求める不審なサイトが表示され、利用者にクレジットカードの情報などを入力するよう誘導していたということです。 1日の午後に社員が異常に気付き、ホームページの管理会社が調べたところ、レンタルしているサーバーが何者かに改ざんされていたということで、偽のサイトを表示させて個人情報を盗み取る「フィッシング詐欺」とみられています。 JR西日本はすでに改ざんされたページを閉鎖していて、4日以降、専用のフリーダイヤルを設置して利用者の問い合わせに応じるとしています。 JR西日本は、「ご迷惑をおかけして申し訳ございません。原因が判明しだい、対策を進めたい」とコメントして
万が一、偽サイトに誘導されてもまだ大丈夫。よく訪れるウェブサイトなら自動ログインによってユーザー名などが表示されるが、偽サイトでは当然表示されない(図31)。 図31 ECサイトなどは、定期的に訪れていればクッキーの働きで自動的にログインする(左)。一方、偽サイトは身元がわからないので当然ログインしない(右)。なお、金融機関などはセキュリティ上ログインが維持されない場合が多い
米CDN(Content Delivery Network)大手のCloudflareは8月10日(現地時間)、米Twilioが7日に発表したものと同じ高度なソーシャルエンジニアリング攻撃を受けたが、日頃の備えが奏功し、すべて阻止したと発表した。 Twilioが攻撃されたのとほぼ同時期に、Cloudflareの多数の従業員に対する攻撃があった。3人の従業員がこれにだまされたが、自社製品「Cloudflare One」ですべてのアプリへのアクセスに物理的なセキュリティキー(ハードキー)による認証を義務付けていたため、攻撃を阻止できたとしている。 攻撃が始まったのは7月20日。セキュリティチームに対し、少なくとも76人の従業員が、個人用および仕事用のスマートフォンで不審なテキストメッセージを受け取ったと報告した。攻撃者がどのようにして従業員の電話番号リストを入手したかはまだ特定できていない。
Office 365のアカウントを多要素認証すら回避して乗っ取るAiTMフィッシング攻撃が1万以上の組織を標的にしていたとMicrosoftが公表
Microsoftのセキュリティ研究チームが、HTTPSプロキシ技術を使ってOffice 365アカウントを乗っ取る大規模なフィッシング攻撃キャンペーンである「Adversary-in-the-Middle(AiTM)」が確認できたと発表しました。この攻撃は多要素認証を回避することが可能で、2021年9月以来1万以上の組織が標的になっているとのことです。 From cookie theft to BEC: Attackers use AiTM phishing sites as entry point to further financial fraud - Microsoft Security Blog https://www.microsoft.com/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-ait
問題です。 どちらが正規のサイトで、どちらが偽サイトでしょうか? 偽サイトに誘導し、IDやパスワードを盗んで預金をだまし取る「フィッシング詐欺」。 「見破るとか見分けるというのはまず無理」 サイバーセキュリティーの専門家はこう警鐘を鳴らしています。 ことし6月までの半年間の被害は去年1年間の2倍。 巧妙化する犯行グループの手口、そして私たちにできる対策を取材しました。 (社会部記者 安藤文音 田中開/札幌局記者 今江太一)
フィッシング詐欺の新しい手口が報告された。新手口では、メールに記載された偽のURL(リンク)をクリックするだけで、Office 365などのクラウドサービスのアカウントを乗っ取られる恐れがある。 アカウントを乗っ取られると、クラウドに保存されたファイルやメール、連絡先などあらゆるデータを盗まれてしまう。従来のフィッシング詐欺と大きく異なる点は、ユーザーのパスワードを盗む必要がないことだ。一体、どんな手口なのだろうか。 パスワードを盗むのが常とう手段 一般的なフィッシング詐欺は、ユーザーのパスワードといった資格情報(認証情報)を盗むのが目的だ。攻撃者は実在する企業などをかたった偽メールをターゲットのユーザーに送る。メールには、正規のWebサイトに見せかけた偽サイトのリンクを記載する。 ユーザーがリンクをクリックすると偽サイトに誘導されて、パスワードなどの入力が促される。ユーザーがだまされて入
NTTドコモは8月23日、「ドコモメール」に、送信ドメインによる認証技術「DMARC」「DKIM」を導入した。なりすましメールなどをより高精度に判別し、フィッシング詐欺による被害などを低減する目的。 DMARCは、メールヘッダに含まれる送信ドメインを認証する技術。DKIMはDMARCの認証手段だ。これらの技術により、企業の公式アカウントから送信された正規メールと判定できたメールには、公式アカウントマークを表示する。 ドコモメールは2021年から、送信ドメイン認証技術「SPF」を採用。SPFにより公式アカウントから送信されたメールと判定できた場合に、公式アカウントマークを表示してきた。 ドコモメールの「迷惑メールおまかせブロック」「詐欺/ウイルスメール拒否」「ドコモメール公式アカウント」機能(それぞれ無料)を通じてユーザーに提供する。各サービスは、新規契約時に自動で適用されている。 関連記事
こんにちは、セキュリティエンジニアの岩田です。今回は「擬似サイバー攻撃演習」と銘打って行った社内の演習についてご紹介します。 擬似サイバー攻撃演習とは? 実際のサイバー攻撃をシミュレーションして実施することで、現在行なっているセキュリティ対策が有効に機能しているかを検証するための演習です。「レッドチーム演習」や「脅威ベースのペネトレーションテスト(TLPT)」などと呼ばれるものと同様の試みですが、誰にでもより直感的に内容が伝わるようにこの名称にしました。 今回は2要素認証を回避するフィッシング攻撃によって実環境のID管理サービス(IDaaS)のアカウントを乗っ取って侵入し、機密情報を盗み出す攻撃シナリオで演習を行いました。 具体的には、攻撃者がフィッシングメールをユーザーに送ってフィッシングサイトに誘導し、ユーザーからのフィッシングサイトへのリクエスト内容をそのまま実際のサイトに転送するこ
スマートフォンには、毎日大量のメールが届きます。筆者の場合、利用したことのあるECサイトからの販促メール(ダイレクトメール)が最も通数が多く、次いでメーカーから届く新製品情報、仕事の取引先となっています。なお、友人や親族からのメールは年に1度も届くことはありません。 ダイレクトメールが多くても、大切なメールが埋もれるため困ってしまいますが、損害の出るレベルで困るのが、カード会社やAmazon、Appleなどを装ったフィッシングメールです。 「フィッシングメール」とは一体何でしょうか。何を目的にしているのでしょうか。それによる損害を被らない方法はあるのでしょうか。 個人情報をだまし取る 総務省では、フィッシングメールではなく、一貫してフィッシング詐欺という言葉を使って説明しています。以下に、説明文を引用します。 フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールか
メルカリは4月28日に発表した2022年6月期第3四半期決算の決算資料で、アプリにおけるクレジットカードの不正利用とフィッシング詐欺の増加により、流通取引総額(GMV)の成長が鈍化した上、ユーザーへの補填金として第3四半期のみで合計16億円の出費があったと明らかにした。 メルカリの22年6月期第3四半期連結決算(21年7月~22年3月)は、売上高が1097億100万円で前年同期比42.7%の大幅成長を遂げ、営業損益も46億8600万円の赤字(前年同期は202億9200万円の赤字)と改善した。 一方、クレジットカードの不正利用は21年末から増加。不正防止のためユーザーへの利用制限を実施したところ、GMVが推定値を数%下回り、ユーザーへの補填金も10億円に上った。メルペイでもフィッシング詐欺の影響でユーザーへの補填金6億円を支払ったという。 メルカリは不正への対策として、電話番号やメールを使っ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
迷惑メールは「meiwaku@dekyo.or.jp」に転送しちゃうといいぞ!/「不在だったので荷物を持ち帰りました」みたいなフィッシングSMSも受け付け中【やじうまの杜】
ドコモが「パスキー」を導入してフィッシング被害報告が0件に パスワードレス認証の効果
ブラウザーの中に「偽ブラウザー」を表示、URLを確認しても防げないフィッシング
電話後にメールを送ってくるフィッシング攻撃についてまとめてみた - piyolog
MFA(多要素認証)を突破するフィッシング攻撃の調査 | セキュリティ研究センターブログ
メール中のURLに特殊なIPアドレス表記を用いたフィッシングに、フィッシング対策協議会が注意喚起 Amazon、ETC利用照会サービス、国税電子申告・納税システムなどをかたる
徳丸氏が探る“認証”の今――サイバー攻撃の認証突破テクニック、フィッシング、そして対抗策とは
JR西日本ホームページ 改ざんされフィッシング詐欺サイトに | NHKニュース
偽サイトもアドレス欄に鍵マーク、証明書を確認してフィッシング詐欺を見抜こう
Cloudflare、Twilioと同じフィッシング攻撃を受けるも完全回避 ハードキーが鍵
“見分けるのは無理” 知ってほしい「フィッシング詐欺」対策は|NHK
パスワードを盗まずにアカウントを乗っ取る、新型フィッシングの恐ろしすぎる手口
ドコモメール、送信ドメイン認証「DMARC」「DKIM」導入 フィッシング防止
IPA、「情報セキュリティ10大脅威 2023」の解説資料を公開 フィッシングや誹謗中傷、ロマンス詐欺などの事例や対策を紹介
ヤフー、パスワードなし認証への移行推奨。フィッシング報告増加を受け 4月の報告件数は「過去最高レベル」
同僚に2要素認証を回避するフィッシング攻撃(の演習)をしてみた - SmartHR Tech Blog
詳しい人でもだまされる? スマホを狙った「フィッシング詐欺」の手口と対策
シッキュンさんはTwitterを使っています: 「【注意喚起⚠️】 先日、うちの母親のクレカが不正利用された件ですが、新手のフィッシング詐欺だったみたいなので手口をシェアします。 👇 母親が甘酒を買おうといろんなサイトを見ていたら、このサイトが激安だったのだそうです。(相場の半値以下くらい) 安すぎて少し怪しいなと思ったらしいけど → https://t.co/VBEdKo2r4z」 / Twitter
メルカリ、不正増加で16億円の追加出費 クレカ不正利用とフィッシング詐欺で成長も鈍化