全2805文字
フィッシング詐欺▼の新しい手口が報告された。新手口では、メールに記載された偽のURL(リンク)をクリックするだけで、Office 365などのクラウドサービスのアカウントを乗っ取られる恐れがある。
アカウントを乗っ取られると、クラウドに保存されたファイルやメール、連絡先などあらゆるデータを盗まれてしまう。従来のフィッシング詐欺と大きく異なる点は、ユーザーのパスワードを盗む必要がないことだ。一体、どんな手口なのだろうか。
パスワードを盗むのが常とう手段
一般的なフィッシング詐欺は、ユーザーのパスワードといった資格情報(認証情報)を盗むのが目的だ(図1)。攻撃者は実在する企業などをかたった偽メールを標的としたユーザーに送る。メールには、正規のWebサイトに見せかけた偽サイトのリンクを記載する。
図1●フィッシング詐欺の一般的な手口
攻撃者は、有名企業などをかたる偽のメールでユーザーをフィッシングサイト(偽サイト)に誘導し、
[画像のクリックで拡大表示]
ユーザーがリンクをクリックすると偽サイトに誘導されて、パスワードなどの入力が促される。ユーザーがだまされて入力すると攻撃者に盗まれる。攻撃者はそのパスワードを使って正規のWebサイトにアクセスしてアカウントを乗っ取る。
誘導されるのは偽サイトなので、リンクのドメイン名をチェックすれば見破れることが多い。また、攻撃者の狙いはパスワードなので、「Webサイトでパスワードなどを入力する際には注意する」といったセオリーを守れば被害に遭わない可能性が高まる。
ところが、2019年12月にセキュリティーベンダーの米フィッシュラブズが報告した新手口では、これらの対策は通用しない。誘導されるのは偽サイトでないうえに、パスワードを盗むことが目的ではないからだ。
