ご愛読者様各位
株式会社インフィニティ
B-2セキュアNewsは、サイバー空間の脅威に備えて不定期に発行しております。
【B-2セキュアNews】フィッシングメールに注意
これまでにもセキュリティ企業等から、ウェブメールサービス(Office365、ActiveMail、Deepmail、Gmail等)のアカウントを狙ったフィッシングメールに関する注意喚起がなされておりますが、いまだに重要インフラ事業者を含む様々な組織に対し、アカウントを狙った悪質なメール(フィッシングメール)の送信が後を絶ちません。
ラグビーワールドカップ2019や東京2020オリンピック・パラリンピック競技大会といった大規模イベントの開催を控えていることから、事業者の皆様におかれましては、今一度、アカウント管理の徹底と従業員に対する注意喚起をよろしくお願いいたします。
【1】フィッシングメールの特徴
1.管理者を装い、「ログインの中断を防ぐため」や「メールソフト検証のため」等として、本文中のリンクをクリックさせる。
2.リンクをクリックすると、Office365等ウェブメールサービスのログイン面面に似せた偽のウェブサイトに移動し、パスワードの入力を求められる。
3.メールの送信元は、管理者と関係のないアドレスから送られることが多い。
【2】アカウント乗っ取りによる主な被害
1.アカウントの設定が変更され、受信メールが外部に転送される。
2.アカウントが踏み台にされ、他の組織に対しフィッシングメールが送信される。
【3】被害防止対策
1.メールの不審点を確認し、フィッシングの手口の基本を知る
・ウェブメールサービスのシステム管理者を装ったメールが届く
現在利用しているウェブメールサービスのシステム管理者を装い、送信エラー等の
トラブルを装ったメールが従業員宛に送付される。
・メール内URLから偽ログインページに誘導され、ID・パスワード入力を要求される
偽ウェブサービスのログインページでID・パスワードを入力することで、そのID・パスワードが窃取され、悪用される。
2.安易にメール内の添付ファイルやリンクを開かない
メールの添付ファイルや本文内のリンクは、便利な反面、悪質なサイトへの誘導に利用されることもあります。
3.メールの真偽は、確かな情報源で確認する
これまで届いたことのない内容のメールや、リンクのクリックを誘う内容のメール等が、本物かどうか判断に迷った場合は、確かな情報源により確認することを推奨します。
【セキュリティ対策情報サイト】
サイバー犯罪やサイバー攻撃の被害防止を図る目的で、犯罪の手口や情勢に関する情報等が以下のサイトで公開されていますので、ご参照下さい。
【サイバーポリスエージェンシー】https://www.npa.go.jp/cybersecurity/
▲
福岡の情報通信企業インフィニティは業務システムの安定稼働と業務データの維持保全を支援します