セキュリティニュースアラート:
SVG添付ファイルで検出回避狙いか 最新のフィッシング攻撃に要注意
コンピュータ情報サイト「Bleeping Computer」は、SVGファイルの特性を悪用したフィッシング攻撃が増加していると報じた。SVGファイルはベクター画像で悪意あるコードを埋め込めるため、セキュリティ対策が困難とされている。(2024/11/20)
セキュリティニュースアラート:
約半数が身代金を支払い OpenTextの年次調査で分かったランサムウェアの悲しい現実
OpenTextは年次調査「2024年グローバルランサムウェア調査」を発表した。サプライチェーン攻撃の増加やランサムウェア被害、生成AIを活用したフィッシング攻撃の増加といったサイバー脅威の現状が明らかになった。(2024/11/12)
怪しいメールを開いてしまう心理を読み解く
“私は大丈夫”を悪用 詐欺メールにだまされないためのFBI流フィッシング対策
フィッシング攻撃はその巧妙さを増しており、簡単には見抜くことが難しくなっている。FBIの専門家が指摘する、人の「信頼」を悪用するフィッシング攻撃の危険性と、理解しておくべき人の心理的な特性とは。(2024/11/11)
「DMARC」でフィッシング対策【後編】
いまさら聞けない「DMARC」 なりすましメールを防げる機能とは?
なりすましメールを食い止める仕組み「DMARC」の機能に「ポリシー」や「報告」がある。DMARCの機能はフィッシング攻撃対策にどう役立つのか。その活用方法を解説する。(2024/11/5)
「DMARC」でフィッシング対策【前編】
メール詐欺対策の基礎知識「DMARC」の“3つの機能”とは?
メールを媒介するフィッシング攻撃は依然として盛んだ。フィッシング攻撃に立ち向かうための仕組みとして「DMARC」がある。どのような機能があるのか。(2024/10/29)
セキュリティニュースアラート:
フィッシング×QRコードが融合した“クイッシング”は何が危ないのか?
Sophosは新たなフィッシング攻撃手法「クイッシング」について警告を発した。フィッシングとQRコードを組み合わせた新たな攻撃手法とされ、同社の従業員が被害に遭ったことが報告されている。(2024/10/25)
1000件以上の“Amazon”関連のドメインが新たに登録:
「Amazonプライム感謝祭」に関するフィッシング攻撃を確認、注意すべき7つのポイントとは チェック・ポイント・ソフトウェア・テクノロジーズ
チェック・ポイント・ソフトウェア・テクノロジーズは、Amazon.comを装ったフィッシングキャンペーンが増加していることを確認した。Amazonプライムの大規模セールを前に、この機会を狙うサイバー犯罪者に注意が必要だ。(2024/10/17)
Cybersecurity Dive:
多要素認証を回避する高度なフィッシングに要注意 その悪質な手法とは?
フィッシングキャンペーンの長期にわたる有効性と成功は、サイバーセキュリティにおける最も根本的な課題である。それは、セキュリティを構成する要素として最も脆弱なのは人間だということを示している。(2024/10/15)
フィッシング攻撃の3つの新手口
「怪しい添付ファイルを開くな」ではもうフィッシング被害を防げない
認証情報を狙うフィッシング攻撃の手口が一段と巧妙化している。認証情報が流出すれば、データや金銭に絡む深刻な事態に陥る可能性がある。特に注意が必要な、フィッシング攻撃の新しい手口とは。(2024/10/15)
セゾンカードかたり「ご利用確認のお願い」偽メールに注意 「利用確認はSMSで行っている」
セゾンカードをかたった「ご利用確認のお願い」などのフィッシングメールが増えているとして注意を呼び掛けている。(2024/10/11)
Gartner Insights Pickup(367):
効果的なワークスペースセキュリティ戦略の導入
ハイブリッドワークでは、モダンなITインフラ内でシームレスに機能する包括的な一連のセキュリティ対策が必要になる。企業はフィッシングやアイデンティティー窃盗、ランサムウェアに対抗するために、多大な投資をしている。だが、この3つはビジネスリーダーにとってセキュリティ上の最大の懸念事項であり続けている。(2024/9/6)
SMBCかたるフィッシングメールに注意 QRコードで偽サイトに誘導する手口
三井住友銀行をかたるフィッシングメールが増加しているとして、フィッシング対策協議会が注意を呼び掛けた。メールに記載したQRコードからフィッシングサイトに誘導する手口の報告が増えているという。(2024/8/28)
後を絶たないフィッシング詐欺 消費生活センター「すぐ相談を」
「りそな銀行」「イオンカード」「JR西日本」「ゆうちょ銀行」「三井住友カード」──実在する組織を騙(かた)って、偽サイトに誘導し、金融情報や個人情報を詐取するフィッシング(Phishing)の被害が後を絶たない。(2024/8/9)
KADOKAWAサイバー攻撃、流出個人情報は25万人分 ニコニコユーザーは無事 端緒は従業員アカウントの漏えい
KADOKAWAへのサイバー攻撃により漏えいした個人情報は25万4241人分。「フィッシングなどの攻撃により、従業員のアカウント情報が窃取され、社内ネットワークに侵入された」(2024/8/5)
フィッシングサイトを閉鎖させた数競う大会始まる 全国のサイバー防犯ボランティアら参加
全国で深刻な被害が出ているフィッシング詐欺の被害を防止しようと、日本サイバー犯罪対策センター(JC3)は22日、サイバー防犯ボランティアがフィッシングサイトをテイクダウン(閉鎖)させた数などを競う「第2回フィッシングサイト撲滅チャレンジカップ」を開催した。(2024/7/22)
プライムデー目前、Amazonかたるフィッシングも増加 セキュリティ企業が注意喚起
アマゾンの大型セール「プライムデー」の開催が7月17日に控えている。それに伴い、アマゾンをかたるフィッシング攻撃も増加していると、イスラエルのセキュリティ企業チェック・ポイント・ソフトウェア・テクノロジーズが注意喚起した。(2024/7/12)
MFAを成功させるための5大ポイント
同じ「多要素認証」でも使い方次第で“安全性は段違い”だった?
フィッシング攻撃などの手口に対抗し、システムへの侵入を防ぐツールとしてMFA(多要素認証)がある。MFAを本当に安全な認証方法にするにはどうすればいいのか。5つのポイントにまとめた。(2024/6/21)
業界別のフィッシング詐欺「ヒット率」が明らかに 高リスク業界はどこか
KnowBe4はフィッシング詐欺に対する脆弱性を分析する2024年度版レポートを発表した。どの業種が危険なのか。(2024/6/17)
セキュリティニュースアラート:
フィッシングが1200%増加 AIが引き起こすサイバー脅威についてIPAが調査を公開
IPAは、米国におけるAI関連のセキュリティ脅威やリスクの認識についてのレポートを公開した。AIの進化が引き起こす脅威を包括的に分析し、その対策の必要性を提言している。(2024/6/4)
ドコモメールに「なりすましメールの警告表示機能」を導入 フィッシング詐欺の対策で
NTTドコモはドコモメールに「なりすましメールの警告表示機能」を導入した。フィッシング詐欺の対策が目的。ドコモメールの利用者が事前にフィッシング詐欺に気づく仕組みを設け、詐欺被害の発生を未然に防止する。(2024/5/22)
楽天モバイル、「迷惑SMS拒否設定」を無料で提供予定 7月9日から
楽天モバイルは5月20日、オプションサービス「迷惑SMS拒否設定」を無料で提供すると発表した。提供開始予定日は7月9日。フィッシング詐欺対策を目的に、有害なサイトのURLや電話番号が含まれるショートメッセージ(SMS)を自動で拒否する。(2024/5/20)
今日のリサーチ:
「三菱UFJ銀行」と「メルカリ」のフィッシング詐欺が増加――BBソフトサービス調査
BBソフトサービスが、詐欺サイト専用セキュリティソフトで検知・収集したデータを基に、インターネット詐欺サイトの傾向を分析しました。(2024/5/1)
生成AIで変わる攻撃と対策【後編】
パスワードではなく「パスキー」を使う“パスワードレス認証”の利点はこれだ
人工知能(AI)技術の利用によって手口が巧妙になるフィッシング攻撃。被害に遭わないための新たな対策になるのが、パスワードを使用しない「パスワードレス認証」だ。その利点と可能性を探る。(2024/4/26)
釣りあげた魚のカウンターアタック! 平和なフィッシングで発生した思わぬ珍事件に「魚さん、グッジョブ!」【米】
これぞ“ふんだりけったり”。(2024/4/26)
生成AIで変わる攻撃と対策【前編】
「攻撃専用GPT」が生成する“見破れない詐欺メール” その恐ろし過ぎる現実
人工知能(AI)技術の利用によってフィッシング攻撃が成功しやすくなっているとセキュリティ専門家は警鐘を鳴らす。AI技術を使った攻撃と従来の攻撃との違いや、攻撃者がどのようなツールを使っているのかを探る。(2024/4/19)
この頃、セキュリティ界隈で:
iPhoneやApple Watchを襲う「MFA爆弾」相次ぐ パスワードリセット通知を大量送付、乗っ取りを狙う
他人のiPhoneを狙ってパスワードのリセット通知を大量に送り付けるフィッシング詐欺攻撃が相次いでている。「MFA爆弾」などと呼ばれる洪水のような通知は一度始まったら止める術がなく、Appleを装う相手にだまされてアカウントを乗っ取られる恐れもある。(2024/4/12)
拡張機能「Password Checkup」iOS版もアップデート:
Chromeのセキュリティ機能がアップデート リアルタイムでプライバシーを保護しフィッシング試行をブロック
Googleは、Google ChromeのGoogleセーフブラウジング機能に、リアルタイムでプライバシーを保護する機能を実装したと発表した。さらに、iOS版Chromeに新しいパスワード保護機能を導入した。(2024/4/6)
ソフトバンクのフィッシング詐欺が増加、偽警告サイトは前月比100倍に BBSSの2月インターネット詐欺リポートより
BBソフトサービスは、インターネット詐欺リポート(2024年2月度)を発表。ソフトバンクのフィッシングサイトの報告数が前月比8倍に増加し、三菱UFJ銀行のフィッシングサイトも急増している。(2024/3/29)
危険なURLなど含むSMSを検知して送信元に注意喚起 ドコモ、フィッシング対策を強化
NTTドコモは28日、危険なサイトURLなどを含むSMSを検知すると送信した回線に注意喚起のメッセージを送る新機能を7月上旬から提供すると発表した。(2024/3/28)
Google、Chromeブラウザにリアルタイムフィッシング対策機能追加へ
Googleは、Chromeブラウザの「セーフブラウジング」機能を強化し、ほぼリアルタイムで安全でない可能性のあるサイトへのアクセスに警告を表示するようになる。(2024/3/15)
セキュリティニュースアラート:
Microsoftの二要素認証を回避 120ドルで提供されるフィッシング・アズ・ア・サービスが登場
TrustwaveはTelegram経由で販売される新しいフィッシング・アズ・ア・サービス「Tycoon Group」について伝えた。Tycoon GroupはMicrosoftの2FAバイパスやCloudflareを利用したアンチbot機能など、高度なフィッシング技術を低価格で提供している。(2024/2/26)
ITmedia Security Week 2023 冬:
徳丸氏が探る“認証”の今――サイバー攻撃の認証突破テクニック、フィッシング、そして対抗策とは
2023年11月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「多要素認証から始めるID管理・統制」ゾーンで、イー・ガーディアングループCISO(最高情報セキュリティ責任者)兼 EGセキュアソリューションズ 取締役 CTO(最高技術責任者)の徳丸浩氏が「認証の常識が変わる――認証強化の落とし穴と今必要な施策」と題して講演した。「認証」をキーワードとし、これまでパスワードに頼り切りだった古典的な手法による認証システムが攻撃される中、新たな技術でどこまで人と情報を守れるのか。認証の現状と今必要な対策を語るセッションだ。本稿では、講演内容を要約する。(2024/2/21)
フィッシング攻撃に強いMFA【後編】
「MFA」が無効になることも……フィッシング攻撃に“有効なMFA”は何が違う?
全ての多要素認証がフィッシング攻撃に有効なわけではない。エンドユーザーを詐欺メールから守るためには、「耐フィッシング」である多要素認証が有効だ。米国CISAが推奨する対策とは。(2024/2/1)
携帯キャリアの詐欺サイトが増加、Amazonのフィッシングサイトも1.8倍に 「詐欺ウォール」が分析
BBソフトサービスは、1月31日に「インターネット詐欺リポート(2023年12月度)」を公開。携帯キャリアのフィッシング詐欺サイトが急増し、フィッシングサイトブランドランキングではAmazonが1.8倍に増加している。(2024/1/31)
フィッシング攻撃に強いMFA【前編】
詐欺メールには「MFA」が有効でも“新手のフィッシング攻撃”には使えない?
エンドユーザーから偽のメールを通じて機密情報を引き出すフィッシング攻撃は、企業が対処すべきサイバー攻撃だ。多要素認証(MFA)でも防げない新手のフィッシング攻撃とは。(2024/1/25)
セキュリティニュースアラート:
2023年Q4のフィッシング攻撃で最も悪用されたブランドとその手口とは?
チェック・ポイント・ソフトウェア・テクノロジーズは2023年第4四半期のブランドフィッシングレポートを公開した。悪用されているブランドとその手口が公開された。(2024/1/24)
Cybersecurity Dive:
偽物の宅配を利用したフィッシングキャンペーンに要注意
緊急連絡や不在通知を装った偽のテキストメッセージは、偽物の宅配業者と正規の顧客との間に緊張をもたらす可能性がある。(2024/1/21)
フィッシングによる不正送金被害が過去最多 金融庁と警察庁が注意喚起
金融庁と警察庁は25日、フィッシングとみられる手口によってネットバンキングのIDとパスワードが盗まれ、預金を不正に送金される被害が広がっているとして連名で注意喚起した。(2023/12/26)
半径300メートルのIT:
サポート詐欺を“疑似体験”してみよう IPAが作ったWebサイトの再現度が高すぎる
最近非常に手口が巧妙化している“サポート詐欺”。これを疑似体験できるWebサイトをIPAが公開しました。その手口を知ることでこうしたフィッシングに冷静に対処していきましょう。(2023/12/26)
Cybersecurity Dive:
小売業者を狙うサイバー攻撃 生成AIによって手口はさらに巧妙化
ソーシャルエンジニアリング攻撃や生成AIによって、フィッシング攻撃やランサムウェアが巧妙化し、リスクが高まっている。(2023/12/23)
半径300メートルのIT:
フィッシングにまみれてしまった「メール」の今後を考える
フィッシングが激化する昨今、「Gmail」などのメールサービスにおいて電子メール送信者の要件が変更になります。これを踏まえてサービス事業者はどのような対策を講じればいいのでしょうか。(2023/12/19)
東京都水道局をかたるフィッシングメールに要注意 「未払いの水道料金あり」との内容
東京都水道局とフィッシング対策協議会は、東京都水道局をかたるフィッシングについて注意喚起を行った。未払いの水道料金があるとのメールが報告されている。リンクをクリックしないよう呼びかけている。(2023/12/14)
「水道料金未払い」東京都水道局かたるフィッシングメールに注意
東京都水道局をかたる不審なメールが届いたという問い合わせが相次いでいるとして、同局が12月13日、注意を呼び掛けた。(2023/12/14)
ドコモが「パスキー」を導入してフィッシング被害報告が0件に パスワードレス認証の効果
パスワードを使わないパスワードレス認証であるパスキーを推進するFIDO Allianceが現状を説明。既に70億を超えるオンラインアカウントがパスキー利用できる。パスキーを使うことで、例えばGoogleはログイン成功率が4倍になり、ログイン時間が半減したという。(2023/12/9)
トビラシステムズ、特殊詐欺/フィッシング詐欺の独自調査レポートを公開 宅配事業者をかたるSMS文面が約9割に
トビラシステムズが、特殊詐欺/フィッシング詐欺に関する独自調査レポートを公開した。国際電話番号を利用した特殊詐欺が増加し、フィッシング詐欺のSMSは宅配事業者をかたる手口が89.1%を占めたという。(2023/11/29)
セキュリティニュースアラート:
フィッシングを簡単に実行できる多機能ツールキット「Telekopye」とは?
ESETの研究者は、フィッシングを簡単に実行できる多機能ツールキット「Telekopye」に関する新たな分析結果を公開した。(2023/11/28)
半径300メートルのIT:
フィッシングの流行手法から考える “全員参加”のセキュリティ対策
個人を狙うランサムウェア攻撃は一時期と比べて減少し、攻撃の主軸はフィッシングへとシフトしています。高度化する詐欺に私たちはどう対抗すればいいのでしょうか。(2023/11/14)
要注意の手口「クイッシング」とは【後編】
そのQRコード、読み取って大丈夫? 不審なときの対処法はこれだ
QRコードを悪用した「QRコードフィッシング」(通称:クイッシング)という攻撃が広がっている。クイッシングの被害に遭わないためには、対策を徹底することが重要だ。具体的な対策をまとめる。(2023/11/3)
要注意の手口「クイッシング」とは【中編】
QRコードが悪用される“なるほど”だが笑えない理由 あの支払いでは要警戒
QRコードを悪用する「QRコードフィッシング」(通称:クイッシング)という攻撃がいま広がっているのは、偶然ではない。何が関係しているのか。特に注意が必要な場面とは。(2023/10/27)
セキュリティニュースアラート:
生成AI vs. 専門家 高精度のフィッシングメールを作れるのはどっち?
IBMは、ChatGPTを悪用したフィッシング詐欺メールの生成方法とサイバーセキュリティの専門家が同様のメールを生成するプロセスを比較した研究結果を発表した。(2023/10/26)
にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。