ソーシャルエンジニアリング

ソーシャルハッキング対策

巧妙化するフィッシング詐欺:コールバック・フィッシングにご用心

インターネットの利用が当たり前になったことで、人の情報を盗み出すフィッシング詐欺も、より巧妙なものへと変化しています。昔ながらの、偽のホームページに誘導するだけの単純な方法では、見破られてしまう可能性が高くなっています。 そこで、複数の方法を組み合わせた、より巧妙なフィッシング詐欺が増えています。 その代表的な例が、「コールバック・フィッシング」です。この手口では、まず、本物そっくりの偽のメールを送りつけます。そして、メールの内容を見た人が記載された電話番号に電話をかけると、攻撃者が用意した偽のコールセンターにつながります。 コールセンターの担当者を名乗る人物は、言葉巧みに個人情報やクレジットカード情報などを聞き出してきます。巧妙な話術で信じ込ませようとするため、自分は騙されていないと過信している人でも、簡単に騙されてしまうことがあります。 このような巧妙化するフィッシング詐欺から身を守るためには、安易にメールのリンクをクリックしたり、電話をかけたりしないことが重要です。不審な点があれば、直接、送信元だと考えられる企業や組織に確認するようにしましょう。日頃から、セキュリティソフトを導入したり、最新の情報を入手したりするなど、セキュリティ対策を万全にしておくことも大切です。
マルウェア対策

巧妙化するサイバー攻撃:BazarLoaderにご用心

- 危険なマルウェア、BazarLoaderとは? 近年、企業や組織にとってサイバー攻撃の脅威は増すばかりです。その中でも、悪意のあるソフトウェアである「マルウェア」による被害は深刻化しており、様々な種類が存在します。 今回紹介する「BazarLoader」も、そうした危険なマルウェアの一つです。BazarLoaderは、外部からコンピュータを不正に操作できる「バックドア」と呼ばれる機能を持ったマルウェアで、感染すると大変危険です。 BazarLoaderは、かつて猛威を振るった「TrickBot」というマルウェアの開発者と関係があるとされており、その巧妙な感染経路や強力な機能は、セキュリティの専門家からも警戒されています。例えば、BazarLoaderは感染したコンピュータに保存されているパスワードやクレジットカード情報などの重要な情報を盗み出すだけでなく、そのコンピュータを他のサイバー攻撃に利用することも可能です。 このように、BazarLoaderは非常に危険なマルウェアであるため、企業や組織は、その脅威を正しく理解し、適切な対策を講じることが重要です。
ソーシャルハッキング対策

巧妙化するサイバー攻撃:BazarCallとは?

インターネット上の悪意のある行為は、日々巧妙さを増しており、セキュリティ対策のソフトを入れていても防ぎきれない場合が増えてきました。近年、その巧妙なやり方の一つとして注目されているのが「バザールコール」という攻撃です。従来の攻撃のように電子メールやホームページを経由するのではなく、電話を使ってくるのが特徴です。 この攻撃では、まず攻撃者は企業の従業員に電話をかけ、実在する企業や組織を名乗って、言葉巧みに相手を信用させようとします。そして、緊急性の高い偽の状況を作り出し、従業員に特定の番号に電話をかけ直させようと仕向けます。 従業員がその番号に電話をかけると、攻撃者が用意したシステムに接続され、マルウェアと呼ばれる悪意のあるプログラムが仕込まれたWebサイトに誘導されたり、自動音声で対応するシステムを悪用して、従業員が普段利用しているシステムに不正にアクセスするための情報を入力させようとしたりします。 バザールコールは、電話という身近なツールを悪用するため、セキュリティ対策ソフトだけでは防ぐのが難しく、従業員のセキュリティ意識向上が重要となります。怪しい電話を受けた場合は、安易に信用せず、相手の身元を必ず確認することが大切です。また、企業は従業員に対して、このような攻撃の手口に関する研修を実施し、セキュリティ意識の向上を図る必要があります。
攻撃方法について知る

巧妙化する脅威:クレデンシャルハーベスティングとは

インターネットの普及に伴い、様々なサービスがオンラインで利用できるようになりました。それに合わせて、サービスへのアクセスに必要となる「ログインID」や「パスワード」といった「資格情報」をどのように安全に管理するかが重要となっています。 資格情報を狙う攻撃は、「クレデンシャルハーベスティング」と呼ばれ、巧妙な方法で個人から情報を盗み出そうとします。例えば、本物そっくりの偽のログイン画面を表示するウェブサイトを作り、利用者を騙してIDやパスワードを入力させるという手口があります。この偽のウェブサイトは、見た目だけでは本物と見分けがつかないほど精巧に作られている場合もあり、注意が必要です。 企業もまた、この脅威にさらされています。従業員の資格情報を盗み出すことで、企業の機密情報にアクセスし、情報を盗んだり、システムを破壊したりする攻撃が増加しています。 このような被害を防ぐためには、パスワードの使い回しを避けたり、複雑なパスワードを設定したりすることが重要です。また、怪しいウェブサイトにアクセスしない、不審なメールに記載されたリンクをクリックしないなど、一人ひとりがセキュリティ意識を高めることが重要です。
攻撃方法について知る

狙われる企業の要人!:ホエーリング攻撃とは?

- ホエーリング攻撃の概要ホエーリング攻撃とは、企業などの組織において重要な決定を下せる立場にある、社長や財務部長といった役職の人物を狙った、非常に巧妙な詐欺の手口です。その名の通り、価値の高い獲物を狙うクジラ漁に例えられています。一般的な詐欺メールとは異なり、ホエーリング攻撃は、綿密な情報収集が特徴です。攻撃者は、標的となる人物の仕事内容や趣味、人間関係などを、インターネットやソーシャルメディアなどを通じて徹底的に調べ上げます。その人物が普段からやり取りしている相手や、信頼している組織になりすまし、巧妙な文面でだまそうとするため、見破るのが非常に困難です。例えば、標的とする社長と日頃からメールのやり取りが多い秘書になりすまし、「至急、この書類を確認して承認してください」という件名で、偽物の請求書が添付されたメールを送信します。普段と変わらない文面や口調で、本物と見分けがつかないような偽のウェブサイトへのリンクを貼るなど、巧妙な手段で標的を騙そうとします。ホエーリング攻撃は、金銭的な被害だけでなく、企業の機密情報漏洩や、社会的信用を失墜させるリスクも孕んでいます。そのため、日頃から組織全体でセキュリティ意識を高め、怪しいメールやメッセージには十分注意することが重要です。
攻撃方法について知る

SIMスワッピング:巧妙化する携帯電話乗っ取り

- SIMスワッピングとは携帯電話は今や生活に欠かせないものであり、銀行口座やオンラインサービスなど、様々な重要な情報と紐づけられています。そのため、携帯電話を狙った犯罪も増加しており、その手口も巧妙化しています。SIMスワッピングとは、携帯電話のSIMカードを不正に複製または乗っ取り、標的になりすます攻撃手法です。SIMカードには電話番号と紐づいた固有の情報が記録されており、このカードを差し替えることで、別の端末で同じ電話番号を使うことが可能になります。攻撃者はまず、標的の個人情報を盗み出します。そして、携帯電話会社に連絡し、標的になりすましてSIMカードの再発行や電話番号の移転を行います。この際、盗み出した個人情報を利用することで、携帯電話会社を騙し、手続きを完了させてしまいます。SIMスワッピングが成功すると、攻撃者は標的の携帯電話にかかってくる電話やSMSメッセージをすべて受信できるようになります。標的の携帯電話番号にSMS認証を設定しているオンラインサービスに不正アクセスしたり、認証コードを盗み見て銀行口座から不正に送金したりと、様々な犯罪に悪用されてしまいます。SIMスワッピングは、個人情報の漏洩対策と携帯電話会社側のセキュリティ対策の両面から対策を行う必要があります。個人は、パスワードを使い回さない、不審なSMSメッセージやメールに注意するなど、基本的なセキュリティ対策を徹底することが重要です。また、携帯電話会社は、本人確認を厳重にするなど、SIMカードの不正発行や電話番号の不正移転を防ぐ対策を強化していく必要があります。
マルウェア対策

巧妙化する脅威:Royalランサムウェアの全貌

- RoyalランサムウェアとはRoyalランサムウェアは、2022年に初めて発見された比較的新しい身代金要求型ウイルスですが、その被害は深刻化しており、企業にとって大きな脅威となっています。このウイルスは、企業の重要なシステムに侵入し、ファイルを暗号化することで使用できない状態にします。そして、暗号化を解除する鍵と引き換えに身代金を要求します。Royalランサムウェアの恐ろしい点は、その攻撃方法の多様性にあります。例えば、遠隔操作ソフトの弱点をついた攻撃や、巧妙な偽のメールで利用者を騙すフィッシング詐欺など、様々な方法で侵入を試みます。侵入経路を特定することが難しく、企業はあらゆる攻撃に対して備えをしておく必要があります。また、Royalランサムウェアは、攻撃対象の企業の規模や業種に合わせて、身代金の額を変動させることも確認されています。さらに、身代金の支払いを拒否した場合、盗み出した機密情報をインターネット上に公開すると脅迫するケースもあります。このように、Royalランサムウェアは、企業にとって金銭的な被害だけでなく、情報漏えいによる信用失墜のリスクも併せ持つ、非常に悪質なウイルスと言えるでしょう。
攻撃方法について知る

巧妙化するネット詐欺:ブラウザ・イン・ザ・ブラウザ攻撃とは?

インターネットを利用していると、普段利用しているサービスやサイトのログイン画面が表示されることがあります。しかし、そのログイン画面は、本物そっくりに作られた偽物かもしれません。悪意のある第三者が仕掛ける「ブラウザ・イン・ザ・ブラウザ攻撃」では、巧妙に作成された偽のログイン画面が、まるで本物のサイトの一部であるかのように表示されます。 この攻撃の恐ろしい点は、その完成度の高さにあります。偽のログイン画面は、本物のサイトのデザインやロゴなどを忠実に再現しており、見分けることが非常に困難です。そのため、普段から利用しているサイトであっても、安易にログイン情報を入力してしまう危険性があります。 もし、偽のログイン画面にログイン情報を入力してしまうと、あなたのIDやパスワードが悪意のある第三者に盗み取られてしまう可能性があります。その結果、不正アクセスや個人情報の漏えいといった深刻な被害に繋がる可能性があります。インターネットを利用する際は、ログイン画面が表示された際には、そのサイトのURLやセキュリティ証明書などを注意深く確認し、安易に情報を入力しないように心がけましょう。
詐欺対策

巧妙化するフィッシング詐欺から身を守るには

- フィッシングとはインターネットの世界には、まるで魚釣りのように、個人情報を盗み取ろうとする罠が仕掛けられています。それが「フィッシング」です。フィッシング詐欺を行う犯罪者は、本物そっくりの偽物のメールやウェブサイトを作成します。彼らは銀行やクレジットカード会社、誰もが知っているような人気サービスを装い、巧みに利用者を騙そうとします。例えば、銀行を装ったメールが届き、「お客様の情報を確認するため」などとして、偽のウェブサイトに誘導されることがあります。そのウェブサイトは、本物の銀行のサイトと見分けがつかないほど精巧に作られている場合もあり、何も知らないままパスワードやクレジットカード番号を入力してしまう危険性があります。フィッシングの手口は年々巧妙化しており、一目見ただけでは偽物と見抜くことが難しいケースも増えています。しかし、どんなに巧妙な偽物でも、よく注意深く観察すれば、不自然な点や怪しい点が見つかるはずです。日頃から、メールやウェブサイトの送信元を確認する習慣を身につけることが、フィッシングの被害から身を守るための第一歩です。
詐欺対策

巧妙化するフィッシング詐欺から身を守るには

フィッシング詐欺とは、まるで本物そっくりに作られた偽のホームページや電子メールを使って、利用者を騙して、IDやパスワード、クレジットカード情報といった大切な個人情報を盗み取ろうとする、インターネットを使った犯罪です。 巧妙に作られた偽のホームページに誘導し、そこで入力させた情報を盗み取るのが、よくある手口です。 例えば、銀行やクレジットカード会社、ショッピングサイトなど、普段利用しているサービスを装った電子メールを送りつけます。そして、メール本文に記載された偽のホームページへのリンクをクリックさせようとします。そのホームページは、本物と見分けがつかないほど精巧に作られているため、利用者は偽物だと気づかずに、IDやパスワードを入力してしまうのです。 近年、このフィッシング詐欺の手口は、ますます巧妙化しており、見破ることが非常に難しくなっています。そのため、身に覚えのないメールのリンクはむやみにクリックしない、少しでも不審に思ったら、公式の連絡先に問い合わせるなど、一人ひとりが注意を払い、自己防衛を心がけることが重要です。
詐欺対策

巧妙化するフィッシングサイトの脅威

- フィッシングサイトとはインターネットの世界には、まるで本物の企業が運営しているかのように装い、利用者を騙して大切な情報を盗もうとする悪質なウェブサイトが存在します。こうした偽のウェブサイトは「フィッシングサイト」と呼ばれ、その手口は年々巧妙化しています。フィッシングサイトが狙うのは、主に銀行口座の情報やクレジットカード番号、ログインに必要なIDやパスワードなどです。こうした重要な情報を盗み出すために、フィッシングサイトは銀行やクレジットカード会社、大手ショッピングサイトなど、利用者が普段から利用している企業のウェブサイトそっくりに作られています。そのため、アクセスした人が偽物だと気づかないまま、IDやパスワードを入力してしまうケースも少なくありません。フィッシングサイトに情報を入力してしまうと、その情報はたちまち犯罪者の手に渡り、不正利用されてしまう可能性があります。例えば、銀行口座の情報が盗まれれば、預金を引き出されてしまうかもしれません。また、クレジットカードの情報が盗まれれば、身に覚えのない高額な買い物に悪用されてしまうかもしれません。フィッシングサイトは、メールやSMSのリンクから誘導されることが多いです。身に覚えのないメールやSMSに記載されたリンクは、安易にクリックしないように注意しましょう。また、アクセスしたウェブサイトのURLをよく確認し、少しでも不審な点があれば、安易に個人情報を入力しないようにすることが大切です。
詐欺対策

巧妙化するビジネスメール詐欺の脅威

- 巧妙ななりすましによる詐欺近年、巧妙ななりすましメールを使って企業からお金をだまし取る、「ビジネスメール詐欺(BEC)」と呼ばれるサイバー犯罪が急増しています。これは、取引先や上司など、日頃からやり取りのある相手になりすまし、本物と見分けがつかないほど精巧なメールを送ってくるという手口です。メールの内容は、取引代金の支払い依頼や請求書の処理といった、一見ごく普通の業務連絡に紛れていることが多く、受信者を油断させます。そして、巧みに文面を工夫することで、言われるがままに偽の銀行口座へお金を振り込ませてしまうのです。BECの被害は世界中で確認されており、その手口は巧妙化の一途をたどっています。 大企業だけでなく、中小企業でも被害に遭うケースが増えており、企業規模を問わず、その脅威は高まっていると言えるでしょう。特に、取引先とのやり取りが多い企業や、従業員に対するセキュリティ意識向上の研修が十分に行われていない企業は、BECの標的になりやすいと考えられます。そのため、日頃から不審なメールを見抜く目を養うとともに、社内全体でセキュリティ対策を徹底していくことが重要です。
攻撃方法について知る

タイポスクワッティングの脅威

- タイポスクワッティングとはタイポスクワッティングは、インターネットユーザーが普段何気なく行っているウェブアクセスを悪用した、巧妙な攻撃手法です。この攻撃では、ユーザーがウェブサイトアドレスを入力する際に起こしがちなタイプミスや勘違いを逆手に取ります。具体的には、攻撃者は正規のウェブサイトアドレスと非常によく似たドメインを取得します。例えば、「example.com」という正規のアドレスに対して、「exanple.com」(「a」と「n」が入れ替わっている)や「example.co」といった、タイプミスや勘違いしやすいアドレスを登録します。そして、これらの偽ドメインを用いて、本物と見分けがつきにくい偽のウェブサイトを構築します。ユーザーがアドレス入力の際にうっかりミスをしてしまったり、表示されたリンクを注意深く確認せずにクリックしたりすると、この偽ウェブサイトに誘導されてしまいます。偽サイトは本物そっくりに作られていることが多いため、ユーザーは自分が偽サイトにアクセスしていることに気が付かないまま、重要な個人情報やクレジットカード情報を入力してしまう可能性があります。このように、タイポスクワッティングは、一見小さなミスが大きな被害に繋がる危険性を孕んでいるのです。
ソーシャルハッキング対策

標的型攻撃の脅威:スピアフィッシングとは

インターネットが広く普及した現代において、サイバー攻撃の手口はますます巧妙化しています。かつては、無作為に同じ内容のメールを大量に送信して、個人情報を盗み取ろうとするフィッシング詐欺が主流でした。しかし近年では、特定の個人や組織を狙い撃ちにする、より高度な攻撃が増加しています。 その代表的な攻撃として挙げられるのがスピアフィッシングです。スピアフィッシングとは、攻撃対象を事前に調査し、業務内容や人間関係を装ったメールを送信することで、受信者を騙してコンピュータウイルスへの感染や不正なWebサイトへのアクセスを誘導する攻撃手法です。 例えば、実在する取引先や上司の名前を使って、いかにも本物らしいメールを送信し、添付ファイルを開かせることでウイルスに感染させたり、偽のログイン画面に誘導してIDやパスワードを盗み取ったりします。 このような巧妙な手口によるサイバー攻撃から身を守るためには、セキュリティソフトの導入やOS・ソフトウェアの最新状態を保つなどの基本的な対策に加え、受信したメールの送信元や内容をよく確認することが重要です。また、業務上やり取りする相手先には、普段から電話などで連絡を取り合い、不審なメールを受け取った際にはすぐに確認するなどの対策も有効です。
ソーシャルハッキング対策

巧妙化する詐欺にご用心!SMSを使ったフィッシングとは?

近年、誰もがスマートフォンを持つようになり、音声通話や電子郵便だけでなく、メッセージアプリを使って手軽に連絡を取り合う機会が増えました。その一方で、その手軽さの裏には、新たな脅威も潜んでいます。 その代表的なものが、SMSを使ったフィッシング詐欺である「スミッシング」です。これは、本物の企業や組織を装ったメッセージを送りつけ、利用者を偽のウェブサイトに誘導する詐欺です。そこでは、クレジットカード番号やログインパスワードなどの重要な個人情報を入力させ、盗み取ろうとします。 メッセージアプリは、その手軽さから、ついつい警戒心が薄れがちです。しかし、発信元の確認が難しいメッセージも多いことを認識しておく必要があります。身に覚えのないメッセージに記載されたURLは、不用意にクリックしないことが大切です。 また、メッセージアプリは、個人情報だけでなく、写真や動画などのプライベートな情報もやり取りされるため、セキュリティ対策が欠かせません。信頼できるセキュリティソフトを導入したり、アプリのパスワードを定期的に変更したりするなど、自衛策を講じるように心がけましょう。 メッセージアプリの便利さを享受しつつも、その危険性を認識し、適切な対策を講じることで、安全に利用できるように心がけましょう。
ソーシャルハッキング対策

巧妙化する電話詐欺!その手口と対策とは?

- 巧妙化する電話詐欺ヴィッシングとは近年、特殊詐欺の手口がますます巧妙化しており、その中でも「ヴィッシング」による被害が急増しています。ヴィッシングとは、電話を使ったフィッシング詐欺のことです。巧みな話術で相手を信用させ、個人情報を盗み取ってしまう恐ろしい犯罪です。従来のフィッシング詐欺は、メールやウェブサイトを介して偽物のログイン画面に誘導し、そこで個人情報を入力させるものが主流でした。しかし、ヴィッシングは電話で直接やり取りをするため、より巧妙化していると言えるでしょう。犯人は、金融機関や公的機関などの職員を装って電話をかけてきます。「あなたの口座が不正利用されています」や「医療費の還付があります」などといった言葉で、巧みに相手の不安をあおり、信用させていきます。そして、個人情報やクレジットカード番号などを聞き出そうとします。また、最近では、キャッシュカードをだまし取るために、警察官や銀行協会の職員を装い、「あなたのカードが偽造されている可能性があるので、確認のためカードを預かります」などと電話をかけてくるケースも報告されています。このような電話がかかってきた場合、絶対に相手に個人情報を伝えてはいけません。また、キャッシュカードを渡したり、暗証番号を教えたりすることも避けましょう。不審な電話だと感じたら、すぐに電話を切り、警察や関係機関に相談することが重要です。
ソーシャルハッキング対策

人の心につけ込む攻撃:ソーシャルエンジニアリング

情報技術が急速に発展し、人々の生活に欠かせないものとなるにつれて、情報セキュリティの重要性はかつてないほど高まっています。しかし、守りを固めようとする一方で、攻撃側の手段も巧妙化しており、目を光らせておかなければなりません。 特に近年、大きな脅威として注目されているのが、「ソーシャルエンジニアリング」と呼ばれる攻撃手法です。これは、高度なプログラミング技術や専門知識を必要とせず、人の心理的な隙やミスにつけ込んで機密情報を盗み出そうとするもので、誰もが被害者になり得るという点で、非常に危険な攻撃と言えるでしょう。 例えば、実在する企業や組織を装った電子メールを送りつけ、本物とそっくりな偽のウェブサイトに誘導して、IDやパスワードなどの重要な個人情報を入力させて盗み取ったり、電話で巧みに相手を信用させて、社外秘の情報を聞き出したりするといった手口が報告されています。 このような攻撃から身を守るためには、情報セキュリティに関する意識を高め、不審なメールや電話には安易に応じない、見覚えのないウェブサイトで個人情報を入力しないなど、基本的な対策を徹底することが重要です。
ソーシャルハッキング対策

情報漏えいの危険! トラッシングとは?

- トラッシングとはトラッシングとは、企業や個人から捨てられたゴミを漁ることで、機密情報を探し出す行為を指します。一見すると、ただの不要な紙くずや廃棄物にしか見えませんが、そこには思いもよらない情報が含まれている可能性があります。例えば、何気なく捨てられたメモ用紙に、住所や電話番号が走り書きされているかもしれません。また、シュレッダーにかけずに捨てられた書類には、氏名やクレジットカード番号の一部、取引先情報など、重要な情報が記載されている可能性があります。悪意のある人物は、このようにして入手した情報を悪用し、様々な犯罪行為を行います。例えば、入手した個人情報を使って、金融機関になりすまし、口座から預金を引き出すといった金銭的な被害を与えることがあります。また、企業から盗み出した顧客情報や機密情報を利用し、脅迫したり、競合他社に売却することで、企業活動に大きな損害を与えることもあります。トラッシングは、ソーシャルエンジニアリングという攻撃手法の一つとして知られています。ソーシャルエンジニアリングとは、人間の心理的な隙や行動の癖を利用して、情報を盗み出したり、不正な操作を行わせる攻撃手法です。トラッシングを行うことで、攻撃者は標的となる人物や組織に関する情報を効率的に収集し、より巧妙な攻撃を仕掛けることが可能となります。そのため、トラッシング対策として、個人情報や機密情報を含む書類は、シュレッダーで細かく裁断する、あるいは、燃えるゴミとして廃棄するなど、情報漏洩のリスクを最小限に抑えるように心がける必要があります。
攻撃方法について知る

見えない脅威:ドッペルゲンガー・ドメインにご注意を

インターネットの世界では、たった一文字の違いが、全く別の場所に繋がる可能性があります。これは住所の番地を間違えるような単純なミスではなく、悪意を持った者が仕掛ける巧妙な罠である場合もあります。例えば、本物のサイトそっくりに作られた「ドッペルゲンガー・ドメイン」と呼ばれる偽サイトが存在します。これは、アドレスバーに入力する際に、アルファベットの一文字を別の文字に置き換えたり、追加したり、削除したりすることで、利用者を騙そうとします。 例えば、「example.com」という実在するサイトのアドレスを、「exarnple.com」のように「m」と「n」を入れ替えただけの偽サイトが存在する可能性があります。他にも、「example.com」を「exarnplee.com」のように「e」を一つ追加しただけの偽サイトも考えられます。このような、非常によく似たアドレスは、一見しただけでは判別が難しく、利用者は知らず知らずのうちに偽サイトにアクセスしてしまう可能性があります。 偽サイトにアクセスしてしまうと、IDやパスワード、クレジットカード情報などの重要な個人情報を盗み取られたり、ウイルスに感染させられたりする危険性があります。インターネットを利用する際は、アドレスバーに入力するアドレスに間違いがないか、今一度注意深く確認することが重要です。
攻撃方法について知る

多要素認証を突破!?消耗攻撃の脅威

近年、パスワードだけでは安全性を十分に確保することが難しくなってきており、スマートフォンへの通知承認などを組み合わせた多要素認証が、セキュリティ対策の強化策として広く普及しています。 多要素認証は、「知識情報」「所持情報」「生体情報」といった異なる種類の要素を組み合わせることで、なりすましによる不正アクセスを防止する有効な手段です。 例えば、パスワードを入力した後にスマートフォンに送信される認証コードを入力することで、パスワードが盗まれてしまった場合でも、アカウントへの不正アクセスを防ぐことができます。 しかし、この多要素認証にも、人間の心理的な隙を突いた攻撃手法が存在します。それが、「多要素認証消耗攻撃」です。 これは、攻撃者が標的に対して、認証要求を何度も繰り返し送りつけることで、標的の疲弊を狙う攻撃です。 何度も認証を求められることで、標的は「システムの誤作動だろう」と考えたり、「早くこの作業を終らせたい」という心理状態に陥りやすくなります。 そして、攻撃者はその心理状態に乗じて、偽の認証画面に誘導し、認証情報を入力させて盗み取ろうとします。 多要素認証はセキュリティ対策として有効な手段ですが、過信は禁物です。 「多要素認証消耗攻撃」のような、人間の心理的な隙を突いた攻撃手法も存在することを認識し、セキュリティ意識を高めていく必要があります。
マルウェア対策

chmファイル: 知られざる脅威

- chmファイルとは chmファイルは、「Compiled HTML」(編集されたHTML)の略で、Windows 95から導入された、オンラインヘルプに使われるファイル形式です。複数のHTMLファイルや画像、プログラムなどを一つにまとめることができるので、Windowsパソコンでヘルプなどの資料を閲覧する際によく利用されます。 chmファイルは、HTMLヘルプコンパイラという専用のソフトを使って作成します。このファイル形式の利点は、複数のファイルを一つにまとめられるという点にあります。これは、ウェブサイトのように複数のページで構成された資料でも、chmファイル化することで、ユーザーが閲覧する際に必要なファイルが一つにまとまり、管理や配布が容易になるというメリットがあります。また、chmファイルは圧縮されているため、ファイルサイズが小さくなる点もメリットです。 chmファイルは、Windowsに標準搭載されている「HTMLヘルプビューア」というソフトで開くことができます。chmファイルを開くと、目次や索引、検索機能などが表示され、目的の情報を探しやすくなっています。
詐欺対策

巧妙化するネット詐欺「豚の食肉解体詐欺」にご用心

近年、インターネットの広がりとともに、私たちの暮らしは大きく変化し、買い物や情報収集など、さまざまな場面でインターネットが欠かせないものとなりました。しかし、その利便性の裏側では、インターネットを利用した詐欺であるオンライン詐欺のリスクも増大しています。 巧妙かつ悪質な手口を使って金銭をだまし取ろうとするオンライン詐欺から身を守るためには、詐欺の手口をよく理解し、適切な対策を講じることが重要です。 オンライン詐欺は、電子メールやウェブサイト、SNSなどを介して行われます。例えば、金融機関や大手企業などを装った偽のウェブサイトに誘導し、個人情報やクレジットカード情報を入力させて盗み取る「フィッシング詐欺」や、実際には存在しない商品やサービスを販売する「ネットオークション詐欺」などがあります。また、SNSを通じて知り合った人物に金銭を要求される「ロマンス詐欺」や、投資話を持ちかけて高額な商品やサービスを購入させる「投資詐欺」なども増加しています。 これらの詐欺は、巧妙な手口でだまそうとしてくるため、少しでも不審な点を感じたら、安易に情報を入力したり、お金を振り込んだりせず、警察や消費者センターに相談することが大切です。
マルウェア対策

EtterSilent:悪意ある文書作成ツールの脅威

近年、インターネットの影の部分ともいえるダークウェブにおいて、ひそかに売買されている危険な道具が存在します。それは「EtterSilent」と呼ばれる、悪意のある文書を作成するための道具です。一見すると、ありふれた文書作成道具のように見えますが、その実態は全く異なるものです。 EtterSilentを用いることで、悪意のある者が「マルドク」と呼ばれる、罠が仕掛けられた文書を容易に作り出すことが可能となります。マルドクは、一見すると普通の文書ファイルと見分けがつきません。しかし、その中にはコンピュータウイルスをはじめとする、様々な罠が埋め込まれているのです。 EtterSilentは、このマルドクを驚くほど簡単に作成できてしまうため、悪意のある者にとって非常に魅力的な道具となっています。そのため、EtterSilentを用いて作られたマルドクは、フィッシング詐欺をはじめとする、様々なサイバー攻撃に悪用されています。 フィッシング詐欺とは、例えば、銀行やクレジットカード会社などを装った電子メールを送りつけ、本物とそっくりな偽のウェブサイトに誘導することで、利用者の重要な情報、例えばパスワードやクレジットカード番号などを盗み取ろうとする行為です。EtterSilentによって作られたマルドクは、このフィッシング詐欺において、より巧妙に利用者を騙すために利用されているのです。 このように、EtterSilentは、インターネットの安全を脅かす危険な道具と言えるでしょう。
攻撃方法について知る

進化するフィッシング詐欺:PhaaSとは

インターネット上で横行する詐欺や個人情報の不正取得の手口として、フィッシング詐欺は絶えず私たちを脅かしています。その中でも近年、PhaaS(フィッシング・アズ・ア・サービス)と呼ばれるサービスが、新たな脅威として注目を集めています。 PhaaSは、フィッシング詐欺の実行に必要なツールやインターネット上の設備一式を、サービスとして提供するものです。従来、フィッシング詐欺を行うには、ある程度の技術的な知識や準備が必要不可欠でした。具体的には、偽のウェブサイトを構築するためのプログラミング技術や、大量のメールを送信するためのサーバーの設置など、専門的な知識と技術が求められていました。 しかし、PhaaSが登場したことにより、技術的なハードルは劇的に下がりました。専門知識のない犯罪者でも、PhaaSを利用することで、簡単にフィッシング詐欺を実行できるようになってしまったのです。PhaaSは、フィッシング詐欺を行うためのツールをレンタルするようなもので、利用者は専門知識がなくても、用意されたツールを使うだけで、簡単にフィッシングサイトを立ち上げたり、メールを大量に送信したりすることができます。 このPhaaSの登場は、フィッシング詐欺がより巧妙化し、かつ大規模化する危険性をはらんでいます。誰もがフィッシング詐欺の被害者になり得るという意識を持ち、怪しいメールやウェブサイトには十分に注意する必要があります。