#チェック・ポイント #フィッシング攻撃 #サイバー犯罪

サイバー犯罪者の新たな手口が明らかに

サイバーセキュリティの分野でのリーダーであるチェック・ポイント・ソフトウェア・テクノロジーズが、Googleが提供しているサービス、特にGoogleカレンダーとGoogle図形描画が不正利用されていることを確認しました。この発表は、サイバー犯罪者たちがどのようにこれらの信頼性の高いサービスを悪用し、フィッシング攻撃を展開しているかを浮き彫りにしています。

Googleカレンダーの格好の標的化

言うまでもなく、Googleカレンダーは使いやすさと高い機能性から、個人や企業に広く利用されています。実際に、Calendly.comによると、Googleカレンダーのユーザー数は5億人を超え、41の言語に対応しています。このような普及状況は、サイバー犯罪者にとって魅力的な攻撃対象となっているのです。

特に、Googleカレンダーを通じて送信されるフィッシングメールは、正規の手段を装っているため、巧妙にできています。サイバー犯罪者は、送信者のヘッダーを偽装して正規ユーザーになりすまし、一見本物の通知のように見えるメールを送信します。これまでに約300の企業や団体がこの攻撃による被害に遭っており、短期間で2,300通のフィッシングメールが確認されています。

新手の攻撃手法の発見

このフィッシング攻撃は、当初はGoogleカレンダーの機能を利用してGoogleフォームへの誘導リンクを埋め込んでいましたが、セキュリティ対策の進展により手法を変更。現在では、Google図形描画を使用した手法に切り替えています。この新たな手口で、サイバー犯罪者はユーザーに悪意のあるリンクや添付ファイルをクリックさせることを目的としています。

入手した情報は、クレジットカードの不正利用やさらなる金融犯罪に悪用される恐れがあります。

投稿されるフィッシングメールの内容

フィッシングメールには、GoogleフォームやGoogle図形描画へのリンクが含まれ、ユーザーは別のリンクをクリックするよう指示されます。このリンクは、reCAPTCHAやサポートボタンのように偽装されていることが多く、ユーザーが何らかのアクションを取る気持ちにさせます。ここでリンクをクリックすると、実際の目的は金銭的詐欺のためのページに転送され、そこで個人情報や支払い情報の提供が求められます。

ユーザーが招待された相手が知り合いであった場合、画面の他の部分は通常のカレンダー通知と類似しているため、見分けがつきにくくなります。

セキュリティ対策の重要性

このような詐欺から身を守るために、組織や個人が見直すべき対策があります。

1. 高度な電子メールセキュリティソリューションの導入：例えば、Harmony Email & Collaborationのような製品が有効です。これにより、フィッシング攻撃を効果的に検知しブロック可能です。
2. サードパーティーのGoogle Appsの監視：不審なアクティビティを報告するツールの導入が推奨されます。
3. 多要素認証の導入：特にビジネスアカウントにおいては、重要なセキュリティ対策です。

また、個人向けには以下の点に留意するよう呼びかけています。

• - 不審なイベント招待や異常な手続きには応じないこと。
• - 受信したメールのリンクを慎重に確認し、安全性の高いURLを選ぶこと。
• - 二要素認証を活用し、セキュリティを強化すること。

Googleからは、特定の設定を変更することでフィッシング攻撃からの防御が強化されるとも提案されています。

結論

Googleカレンダーや他のツールが悪用される可能性がある中で、セキュリティに対する意識を高め、適切な対策を講じることがますます重要です。新年を迎えるにあたり、自身のセキュリティ体制を見直し、必要であれば専門家の助言を求めることをお勧めします。

関連リンク

サードペディア百科事典: チェック・ポイント フィッシング攻撃 サイバー犯罪

Wiki3: チェック・ポイント フィッシング攻撃 サイバー犯罪