注意!Google Chrome ユーザーへの新型フィッシング詐欺

ルーマニアのセキュリティ企業である Bitdefender が、
従来のヒューリスティック方式では検出できない
URI(Uniform Resource Identifier) を用いた
新たなフィッシング攻撃が発生していると警告しています。

○Bitdefender
https://www.google.co.jp/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=0CDAQFjAA&url=http%3A%2F%2Fwww.bitdefender.com%2F&ei=BRB4U6HYApHo8AWvwYKIBg&usg=AFQjCNEAhz5oYPnF07gwlXtNHtqc-G7v1Q&sig2=n-twlIBrHr1xpW3RUfKkPA

この攻撃は、
「Google Chrome」を利用している方すべてが対象となるだけでなく、
「Mozilla Firefox」の利用者も攻撃の対象となる可能性があります。

そこで本日は、新型のフィッシング詐欺とはどのような攻撃なのかと
対策方法についてご紹介したいと思います。

<<本コンテンツの対象となる方>>

・Google Chrome をお使いの方
・フィッシング攻撃の対策に興味のある方

※フィッシング攻撃とは?

主に金融機関(銀行やクレジットカード会社)などを装った電子メールを送り、
住所・氏名・銀行口座番号・クレジットカード番号などの
個人情報を詐取する行為のことを指します。

・メールに電子署名が付いていない
・URL がその機関のものではない
・ウェブサイトに電子証明書が使われていない
・正規のものではない

などで見分けることができますが、
見た目はそっくりに作られていることから被害が広がっています。

<<どんな問題が起こるのか>>

攻撃者がユーザーの Google アカウント にアクセスできるということは、

・『Google Play』でアプリや音楽・動画などのコンテンツの購入
・『Google+』アカウントを乗っ取り
・『Google Drive』の機密文書へアクセス

などが行われるということです。

Google アナリティクスなどで管理している
ウェブサイトへ影響を及ぼす可能性もありますし、

AdSence などを利用していた場合、
何かしら課金などの情報が悪用される可能性も否定できないでしょう。

<<攻撃方法>>

この攻撃は
まず、Googleから送信されたように装った電子メールから始まります。

メールの件名は『 Mail Notice 』や『 New Lockout Notice 』などになっています。

メールの内容は次のようなものです。

「本メールは、あなたの電子メールアカウントが
24時間以内に ロックされることを知らせるリマインダー通知です
あなたに割り当てられた電子メール用ストレージ容量を増加することができません
電子メール用ストレージを自動的に増加するためには、
“INSTANT INCREASE”(リンク)にアクセスしてください」

このリンクをクリックすると
偽装された Google のログインページにリダイレクトされ、
秘密情報の入力が求められます。

ここで秘密情報を入力してしまうと、
攻撃者にその情報が渡ってしまいます。

その後、先にあげたような問題へ発展するか、
アカウント情報自体が転売されたりするのでしょう。

<<対策方法>>

現時点ではウイルス対策ソフトなどによる機械的な対策方法はありません。
#いわゆるゼロデイ攻撃です
##ゼロデイ攻撃:
セキュリティホールが見つかってから
対策が行われるまでの間に行われる攻撃

自分宛のメールのリンク先がサービス提供者のものであるかの
チェックをきちんと目視するなどが基本的な対策です。
※とくにドメイン部分です

企業であれば、上記含めたフィッシング詐欺の手法を注意喚起するよう
ユーザーのセキュリティ教育を行うことや、
継続的なネットワークの監視といった方法を用いて対策しましょう。

<<まとめ>>

ここ数ヶ月、フィッシング詐欺は三菱東京 UFJ 銀行やりそな銀行など
多くの機関で注意が喚起されているとおり、
非常に巧妙で悪質なものが増えてきています。

Google Chrome は表示中・リンク先の URI の文字列全体を表示しないため、
ユーザーは自分たちがフィッシング攻撃の標的になって
サイバー犯罪者にデータを手渡していることに
気が付かないかもしれない点が、これまでと違ったリスクを抱えている、と
Bitdefender のコソイ氏は述べています。

先日の IE のセキュリティ問題もそうですが、

インターネットに繋げて便利になるということは
リスクも増えることになることを知っていただき、

本質的な原因を把握してもらうというのが一番の対策となります。

どのようなセキュリティベンダーのサポートでも、
あくまでも対策でしかないこと、
絶対に安全な状態を確保することは不可能であること、
を前提にリスクと付き合っていきましょう。

セキュリティ リスクを減らしつつ
自分の時間を確保したいのであれば、

このようなサービスも選択肢の一つです。
http://goo.gl/x7Kbk

その他、IT 関連の疑問があれば、お気軽にご相談ください。

※Excel や Word などのソフトの疑問などでも大丈夫ですよ!

ここまでお読みいただきありがとうございます。

ところであなたは、24時間365日、自分の代わりに集客し続けてくれるWebサイトを作りたい!と思ったことはありませんか?

私はこれまで500以上のWebサイトの構築と運営のご相談に乗ってきましたが、Webサイトを作ってもうまく集客できない人には、ある一つの特徴があります。

それは、「先を見越してサイトを構築していないこと」です。

Webサイトで集客するためには、構築ではなく「どう運用するか」が重要です。

しかし、重要なポイントを知らずにサイトを自分で構築したり、業者に頼んで作ってもらってしまうと、あとから全く集客に向いていないサイトになっていたということがよく起こります。

そこで今回、期間限定で

『10年集客し続けられるサイトをワードプレスで自作する9つのポイント』

について、過去に相談に乗ってきた具体的な失敗事例と成功事例を元にしてお伝えします。

  • ワードプレスを使いこなせるコツを知りたい!
  • 自分にピッタリのサーバーを撰びたい!
  • 無料ブログとの違いを知りたい!
  • あとで悔しくならない初期設定をしておきたい!
  • プラグイン選びの方法を知っておきたい!
  • SEO対策をワードプレスで行うポイントを知りたい!
  • 自分でデザインできる方法を知りたい!

という方は今すぐ無料でダウンロードしてください。

期間限定で、無料公開しています。

普段お使いのメールアドレスを入力し、ボタンをクリックしてお申し込みください。

『10年集客し続けられるサイトをワードプレスで自作する9つのポイント』メール講座
メールアドレス:

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です