2020/1/18(土) 日本テレビ系『世界一受けたい授業(@seka1jugyou_ntv)』にて、フィッシング詐欺の見破り方と称する手法が放送されました。しかしこの手法は、誤ってフィッシングサイトへアクセスする可能性を引き上げる「極めて危険」なものです。また、フィッシング詐欺対策を行っている各種団体や多くのセキュリティエンジニアも、このような手法は推奨していません。 (@u_1ch1 さんより、画像を提供頂きました)
パスワードを使わないパスワードレス認証であるパスキーを推進するFIDO Allianceは会見を開き、既に70億を超えるオンラインアカウントがパスキー利用可能な状態になって、利用が拡大していることをアピールした。国内でも利用が拡大しており、新たにメルカリがボードメンバーに加盟し、住信SBIネット銀行がアライアンスに加盟した。 FIDO Allianceの1年の取り組みが紹介された。写真左からメルカリ執行役員CISO市原尚久氏、LINEヤフーLY会員サービス統括本部ID本部本部長伊藤雄哉氏、FIDO Japan WG座長でNTTドコモのチーフ・セキュリティ・アーキテクト森山光一氏、FIDO Allianceエグゼクティブディレクター兼最高マーケティング責任者のアンドリュー・シキア氏、FIDO Alliance FIDO2技術作業部会共同座長でGoogle ID&セキュリティプロダクトマネージ
だがWebブラウザーのセキュリティーは年々強化され、こういった手口はほとんど使えなくなった。このため前述のようにアドレスバーの表示を確認することが、偽サイトに誘導されないための有効な対策になっている。 今回「mr.d0x」を名乗るセキュリティー研究者が警鐘を鳴らすのは、Webブラウザーが表示するポップアップウインドウ(Webブラウザーウインドウ)である。Webブラウザーのアドレスバーではなく、ポップアップウインドウのアドレスバーを偽装する。アドレスバー付きのポップアップウインドウは「Webブラウザーが表示するWebブラウザー」といえるので、この手口はBrowser In The Browser(BITB)攻撃と名付けられた。 BITB攻撃の主な対象となるのは、ソーシャルログインのログイン画面である。ソーシャルログインとは、SNSのアカウントで別のWebサービスにログインできるようにする仕組
2023年3月30日、名刺管理サービスを提供するSansanは、同社になりすました不審な電話やメールが確認されているとして利用組織に対して注意を呼びかけました。その後、この注意喚起に関連して実際に被害に遭ったとみられる企業が名刺管理システムからの情報流出の公表を行っています。ここでは関連する情報をまとめます。 運営会社になりすました人物から電話後にフィッシングメール 不正アクセス被害を公表したのは川崎設備工業。名刺管理システム上に登録された名刺情報6万6214件が流出した。名刺情報には氏名、会社名、役職、会社住所、電話番号、メールアドレス等が含まれていたが、公表時点では流出した情報の悪用(営業メールや電話等の発生)は確認されていない。 不正アクセスは2月13日の同社従業員への電話連絡から始まった。電話をかけてきた人物は、Sansanの従業員になりすまし、川崎設備工業からその従業員に対して2
はじめに 弊社では、最近BEC(ビジネスメール詐欺)のインシデント対応を行いました。この事案に対応する中で、マイクロソフト社(*1)やZscaler社(*2)が22年7月に相次いで報告したBECに繋がる大規模なフィッシングキャンペーンに該当していた可能性に気づきました。マイクロソフトによると標的は10,000 以上の組織であるということから、皆様の組織でもキャンペーンの標的となっている可能性や、タイトルの通りMFA(多要素認証)を実施していたとしても、不正にログインされる可能性もあり、注意喚起の意味を込めてキャンペーンに関する情報、および実際に弊社での調査について公開可能な部分を記載しています。 *1: https://www.microsoft.com/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm
徳丸氏が探る“認証”の今――サイバー攻撃の認証突破テクニック、フィッシング、そして対抗策とは:ITmedia Security Week 2023 冬 2023年11月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「多要素認証から始めるID管理・統制」ゾーンで、イー・ガーディアングループCISO(最高情報セキュリティ責任者)兼 EGセキュアソリューションズ 取締役 CTO(最高技術責任者)の徳丸浩氏が「認証の常識が変わる――認証強化の落とし穴と今必要な施策」と題して講演した。「認証」をキーワードとし、これまでパスワードに頼り切りだった古典的な手法による認証システムが攻撃される中、新たな技術でどこまで人と情報を守れるのか。認証の現状と今必要な対策を語るセッションだ。本稿では、講演内容を要約する。
JR西日本は3日夜、ホームページの一部が何者かに改ざんされ、利用者にクレジットカードの情報などを入力するよう誘導する、いわゆる「フィッシング詐欺」のサイトが表示される状態になっていたと発表しました。 ここにアクセスすると、アンケートへの回答を求める不審なサイトが表示され、利用者にクレジットカードの情報などを入力するよう誘導していたということです。 1日の午後に社員が異常に気付き、ホームページの管理会社が調べたところ、レンタルしているサーバーが何者かに改ざんされていたということで、偽のサイトを表示させて個人情報を盗み取る「フィッシング詐欺」とみられています。 JR西日本はすでに改ざんされたページを閉鎖していて、4日以降、専用のフリーダイヤルを設置して利用者の問い合わせに応じるとしています。 JR西日本は、「ご迷惑をおかけして申し訳ございません。原因が判明しだい、対策を進めたい」とコメントして
米CDN(Content Delivery Network)大手のCloudflareは8月10日(現地時間)、米Twilioが7日に発表したものと同じ高度なソーシャルエンジニアリング攻撃を受けたが、日頃の備えが奏功し、すべて阻止したと発表した。 Twilioが攻撃されたのとほぼ同時期に、Cloudflareの多数の従業員に対する攻撃があった。3人の従業員がこれにだまされたが、自社製品「Cloudflare One」ですべてのアプリへのアクセスに物理的なセキュリティキー(ハードキー)による認証を義務付けていたため、攻撃を阻止できたとしている。 攻撃が始まったのは7月20日。セキュリティチームに対し、少なくとも76人の従業員が、個人用および仕事用のスマートフォンで不審なテキストメッセージを受け取ったと報告した。攻撃者がどのようにして従業員の電話番号リストを入手したかはまだ特定できていない。
Microsoftのセキュリティ研究チームが、HTTPSプロキシ技術を使ってOffice 365アカウントを乗っ取る大規模なフィッシング攻撃キャンペーンである「Adversary-in-the-Middle(AiTM)」が確認できたと発表しました。この攻撃は多要素認証を回避することが可能で、2021年9月以来1万以上の組織が標的になっているとのことです。 From cookie theft to BEC: Attackers use AiTM phishing sites as entry point to further financial fraud - Microsoft Security Blog https://www.microsoft.com/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-ait
フィッシング詐欺の新しい手口が報告された。新手口では、メールに記載された偽のURL(リンク)をクリックするだけで、Office 365などのクラウドサービスのアカウントを乗っ取られる恐れがある。 アカウントを乗っ取られると、クラウドに保存されたファイルやメール、連絡先などあらゆるデータを盗まれてしまう。従来のフィッシング詐欺と大きく異なる点は、ユーザーのパスワードを盗む必要がないことだ。一体、どんな手口なのだろうか。 パスワードを盗むのが常とう手段 一般的なフィッシング詐欺は、ユーザーのパスワードといった資格情報(認証情報)を盗むのが目的だ。攻撃者は実在する企業などをかたった偽メールをターゲットのユーザーに送る。メールには、正規のWebサイトに見せかけた偽サイトのリンクを記載する。 ユーザーがリンクをクリックすると偽サイトに誘導されて、パスワードなどの入力が促される。ユーザーがだまされて入
NTTドコモは8月23日、「ドコモメール」に、送信ドメインによる認証技術「DMARC」「DKIM」を導入した。なりすましメールなどをより高精度に判別し、フィッシング詐欺による被害などを低減する目的。 DMARCは、メールヘッダに含まれる送信ドメインを認証する技術。DKIMはDMARCの認証手段だ。これらの技術により、企業の公式アカウントから送信された正規メールと判定できたメールには、公式アカウントマークを表示する。 ドコモメールは2021年から、送信ドメイン認証技術「SPF」を採用。SPFにより公式アカウントから送信されたメールと判定できた場合に、公式アカウントマークを表示してきた。 ドコモメールの「迷惑メールおまかせブロック」「詐欺/ウイルスメール拒否」「ドコモメール公式アカウント」機能(それぞれ無料)を通じてユーザーに提供する。各サービスは、新規契約時に自動で適用されている。 関連記事
こんにちは、セキュリティエンジニアの岩田です。今回は「擬似サイバー攻撃演習」と銘打って行った社内の演習についてご紹介します。 擬似サイバー攻撃演習とは? 実際のサイバー攻撃をシミュレーションして実施することで、現在行なっているセキュリティ対策が有効に機能しているかを検証するための演習です。「レッドチーム演習」や「脅威ベースのペネトレーションテスト(TLPT)」などと呼ばれるものと同様の試みですが、誰にでもより直感的に内容が伝わるようにこの名称にしました。 今回は2要素認証を回避するフィッシング攻撃によって実環境のID管理サービス(IDaaS)のアカウントを乗っ取って侵入し、機密情報を盗み出す攻撃シナリオで演習を行いました。 具体的には、攻撃者がフィッシングメールをユーザーに送ってフィッシングサイトに誘導し、ユーザーからのフィッシングサイトへのリクエスト内容をそのまま実際のサイトに転送するこ
スマートフォンには、毎日大量のメールが届きます。筆者の場合、利用したことのあるECサイトからの販促メール(ダイレクトメール)が最も通数が多く、次いでメーカーから届く新製品情報、仕事の取引先となっています。なお、友人や親族からのメールは年に1度も届くことはありません。 ダイレクトメールが多くても、大切なメールが埋もれるため困ってしまいますが、損害の出るレベルで困るのが、カード会社やAmazon、Appleなどを装ったフィッシングメールです。 「フィッシングメール」とは一体何でしょうか。何を目的にしているのでしょうか。それによる損害を被らない方法はあるのでしょうか。 個人情報をだまし取る 総務省では、フィッシングメールではなく、一貫してフィッシング詐欺という言葉を使って説明しています。以下に、説明文を引用します。 フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールか
メルカリは4月28日に発表した2022年6月期第3四半期決算の決算資料で、アプリにおけるクレジットカードの不正利用とフィッシング詐欺の増加により、流通取引総額(GMV)の成長が鈍化した上、ユーザーへの補填金として第3四半期のみで合計16億円の出費があったと明らかにした。 メルカリの22年6月期第3四半期連結決算(21年7月~22年3月)は、売上高が1097億100万円で前年同期比42.7%の大幅成長を遂げ、営業損益も46億8600万円の赤字(前年同期は202億9200万円の赤字)と改善した。 一方、クレジットカードの不正利用は21年末から増加。不正防止のためユーザーへの利用制限を実施したところ、GMVが推定値を数%下回り、ユーザーへの補填金も10億円に上った。メルペイでもフィッシング詐欺の影響でユーザーへの補填金6億円を支払ったという。 メルカリは不正への対策として、電話番号やメールを使っ
Cloudflare Zero TrustとYubicoでシームレスなフィッシング対策を実現する(ハードウェア)キー2022/09/29 ハードウェアキーを使用すると、最高レベルの認証セキュリティが実現し、優れたフィッシング耐性が提供されます。しかし、お客様からは、「どのように実装すればいいのか」「どのセキュリティキーを購入すればいいのか」といった問い合わせがあります。本日、Cloudflareのお客様向けに、ハードウェアキーをこれまで以上にお求めやすく、経済効果の高い特別なプログラムをご紹介します。業界をリードするハードウェアセキュリティキーベンダーであるYubicoとの新たなコラボレーションで実現したこのプログラムにより、Cloudflareのお客様は「インターネット特別料金」でハードウェアキーを購入することができます。 Cloudflareをご利用のすべてのお客様は、今すぐCloud
大阪教育大学(大阪府柏原市)は5月24日、附属小学校の教員1人がスミッシング(SMSによるフィッシング)の被害に遭い、同教員が私的に契約するクラウドストレージ内に保存していた学級名簿などの個人情報約3900件が第三者から閲覧可能な状態にあると発表した。教員は大学が決めた情報管理のルールを守らず、個人情報を私的なクラウドストレージに保存していたという。 クラウドストレージに保存されていたのは、児童や他の職員が写った顔写真や学校生活の写真3349件、児童の氏名が載った学級名簿(357人分)、児童や職員の氏名が載った写真(70人分)、学生や職員の氏名が載った夏休みの課題の応募用紙(12人分)など。 児童の氏名が載った学級写真(12クラス分)や、同大が運営する情報システムのログインに必要な、IDやパスワードが写った写真も保存されていた。大阪市の教育委員会によれば、教員が以前務めていた別の小学校で撮
アカウントへの侵入を防ぐためにパスワードを使い分けているという人でも、IDとして用いるメールアドレスを使い分けているというケースはあまり多くないはず。こうした現状を踏まえた新たなセキュリティ対策サービスとして、Cloudflareが2021年9月28日に、複数のメールアドレスが受信したメールを1つのメールアドレスに統合する「Cloudflare Email Routing」と、なりすましやフィッシング対策を強化する「Email Security DNS Wizard」を発表しました。 Easily creating and routing email addresses with Cloudflare Email Routing https://blog.cloudflare.com/introducing-email-routing/ Tackling Email Spoofing an
Appleは、フィッシング攻撃の可能性のあるSMS経由で送信された2ファクタ認証コードの自動入力のブロックを開始し、SMSのメッセージの形式を変更しました。 フィッシングサイトでの自動入力をブロック Appleの2ファクタ認証コードの自動入力機能は、SMSで送られてくる認証コードを入力する手間が省ける便利な機能です。しかし、ユーザーが、攻撃者によって作成された偽サイトへのリンクをクリックすると、認証コードが自動で入力され、ユーザーがフィッシングの被害を受けてしまう可能性がありました。 Appleはこの問題に対処するため、偽サイトにおける自動入力をブロックするより安全な新しいフォーマットで認証コードをSMSで送信するよう企業に呼びかけています。 新しいフォーマットでは、Webサイトと2ファクタ認証コードを送信したドメインが一致した場合にのみ、認証コードの自動入力が行われるよう変更が加えられて
2023年1月10日、ECショップ作成サービスを運営するBASEは、同社のサービスを利用するECショップ管理者に対し購入者になりすました不審メールが発生しているとして注意を呼びかけました。被害に遭ったECサイトからはさらにクレジットカード情報の窃取を狙ったメールがそのECショップの購入者宛に送られる事例も確認されています。ここでは関連する情報をまとめます。 ECショップに不正ログインし盗んだ購入者情報を悪用 【不審なお問い合わせにご注意ください】 このたび、BASE管理画面のログイン情報を不正に入手することを目的とした、なりすましの事案が確認されたため、注意喚起の記事を公開しました。重要な情報のためご確認いただけると幸いです。https://t.co/WTzbYCr41Z— BASE(ベイス)💻ネットでお店を開くなら (@BASEec) 2023年1月10日 購入者のなりすましたメッセー
米Microsoft(マイクロソフト)は2022年7月中旬、大規模なフィッシング攻撃(フィッシング詐欺)が展開されているとして注意を呼びかけた。対象はMicrosoft 365(旧称Office 365)を利用する企業や組織。2021年9月以降、1万を超える企業や組織に対して攻撃が行われているという。 この攻撃の特徴は、大規模なことに加えて多要素認証(MFA:Multi-Factor Authentication)を破ること。攻撃者は多要素認証を破り、正規ユーザーのメールアカウントなどを乗っ取る。一体、どのようにして破るのだろうか。 複数の認証要素で安全性を高めたはずが 社内のシステムとは異なり、クラウドサービスにはインターネット経由で誰でもアクセスできる。このため正規のユーザーかどうかを確認するユーザー認証がとても重要になる。 そこでメールなどのクラウドサービスを利用する企業の一部は、多
企業や個人を狙うフィッシング攻撃が急速に進化を遂げている。従来の古いフィッシング攻撃対策の常識がむしろ被害を拡大しかねない。最近の事例を交えて、進化したフィッシング攻撃について解説する。 ■急増する個人を狙うフィッシング攻撃による被害 警察庁による発表では、2019年9月から、フィッシング攻撃によるものとみられる不正送金被害が急増しており、被害件数で前月比4倍、被害額は6倍に達しているという。この勢いは衰えを見せておらず、10月も引き続き猛威を振るっている状況だという。 9月に急増したフィッシング攻撃によるものとみられる不正送金被害。出典:警察庁https://www.npa.go.jp/cyber/policy/caution1910.html■なぜ、フィッシング攻撃による被害が増加しているのか? 警察庁の発表で注視すべき点は、これが警察庁の発表で有るという点で考えると「フィッシング攻撃
NTTドコモは5月25日、企業やサービスの公式アカウントが送信するメールに緑色の“公式マーク”を表示するサービスを始めた。送信する企業・受信する一般ユーザーともに利用料は無料。フィッシング詐欺の抑止が目的で、すでに佐川急便や三菱UFJ銀行、LINEなど13社が導入済みという。 登録した企業のメールに加え、ドコモが提供する「dカード」や「d払い」といったサービスの公式アカウントが送るメールにもマークを表示する。ユーザーは、Androidでは「ドコモメール」のスマートフォンアプリ、iOSではブラウザ版アプリからメールを閲覧した場合に、公式マークの有無を確認できる。 導入を希望する企業の申し込みは専用サイトで受け付ける。審査などにかかる期間は最短で1カ月。利用に当たってはSPF(メール送信元のサーバのIPアドレスを基になりすましを防ぐ認証技術)の導入や、性的なメールを送らない、マルチ商法に使わな
ガジェット全般、サイエンス、宇宙、音楽、モータースポーツetc... 電気・ネットワーク技術者。実績媒体Engadget日本版, Autoblog日本版, Forbes JAPAN他 アップルの公式オンラインストアでiPhone 15 Proを注文したところ、しばらくして届いたのはiPhone 15 Pro Maxに非常に似せて作られたAndroid端末だったという話が話題になっています。 英国の「theEdmard」と名乗る人物(以下Ed)は、届いた箱の中に入っていたのはiOS 17に見えるテーマを適用したAndroidがインストールされた、iPhone 15 Pro Maxにそっくりな端末だったと掲示板サイトRedditに投稿しました。 Ed氏は箱を開けて端末を見たときに、なぜかすでにタッチスクリーンに保護シートが張られているのに気づきました。そして、電源を入れたところ、明らかにそれは
3日前に、auじぶん銀行の巧妙な不正出金についてYouTube動画を公開しました。みんな見てねー。 auじぶん銀行アプリに対する不正出金の驚くべき手口 そうしたところ、先程私のiPhoneに以下のようなSMSが届きました。 ふーん、au自分銀行のときは宅配事業者を装ったSMSということでしたが、これはどうなんでしょうね。開いてみると… 詐欺サイトの警告が出ていますが、構わずに開いてみると… きたきたきたー。これですよ。auじぶん銀行のフィッシング(SMSの場合はスミッシングと言いますが)サイトのようですよー。「閉じる」をタップすると… うーむ、これがauじぶん銀行の本物のフィッシングサイトですよ。これかー。僕が作った偽サイトよりもきちんと作ってありますねー(笑い)。ちなみに、本物のauじぶん銀行サイトはこちら。 よく似ていますね。お客様番号とログインパスワードの欄は共通ですが、偽物の方は暗
2019/12/17 編集 私がバス釣りを本格的にやっていた頃は、無類のクランカーでした。クランク専用タックルを5セットと、オカッパリの時に他ルアーと兼用できるようにと3セットの計8セットのクランク用タックルがあった訳です。今では完全にアホだと思います。 エリアフィッシングでもバス程ではないにしろ、タックルの使い分けは必要になってきます。数gの重さの違いでも、ライトタックルでは使い勝手が全然違うんです。 [:contents] タックル選びをする前に、方針を決める ○○専用という細分化したタックルを持てるなら、それに越したことはありません。大会の時などは持ち込みタックル数に制限がある可能性もありますが、普通に使う分には専用タックルを準備したほうが快適度は高いです。 でも初心者のうちから、タックルを3つも4つも・・・と細分化してたくさん持てるでしょうか?いきなりタックルを3つも4つも準備する
Amazonのフィッシング詐欺に気がつかず、 メアド、パスワード、個人情報を入力してしまった 大馬鹿あほのbollaと申します(´;ω;`)ウゥゥ 昨日の記事の通り、あほなことをしたのですがね。。。 こちら。。。↓↓↓↓↓↓↓↓↓↓↓↓↓↓ bolla.hatenablog.com 今日もまた、きやがりましたよ!!!! タイトルは、 【緊急!Amazonアカウントが制限されようとしています】 これを観た瞬間、 うぜーーーんだよ!!!と一瞬でやくざ化。。。 ちょうど、クズ太郎のことをまとめていて、 そうでなくてもイライラしていたので、 本当に苛立って、 『お前、うぜーーんだよ!!!』と 変身したい気分でした。 あれ???? そっちの(変身)ではなくて、(返信)ね。。。 『詐欺メールに返信したい気分でした』が正解。 やくざに変身!!!!??? とにかくむかついて仕方ないので、 登録しているメア
ビジネスソフトウェア構築プラットフォームを提供する Retool がスピア型のフィッシング攻撃を受けたのだが、Google Authenticator によりその被害が大きくなったそうだ (Retool のブログ記事、 Ars Technica の記事、 Bleeping Computer の記事)。 複数の Retool 従業員は 8 月 27 日、ユーザーアカウントの問題で健康保険関連の登録が妨げられているといった内容のフィッシング SMS を受信する。社内ログインシステムの Okta への変更が告知された直後であり、社内ポータルに似せた偽の URL が添付されていたそうだ。一人だけ騙された従業員が多要素認証 (MFA) フォームを含む偽ポータルにログインすると、ディープフェイクボイスで社員になりすました偽の IT スタッフから電話がかかってくる。話をする間に従業員は疑いを深めていった
はじめに 去年、情報処理安全支援士を取得したばかりなのですが、母親がフィッシング詐欺の被害にあってしまいました。(被害額は50万円弱) 本当に情けないです。何が情報処理安全支援士だ、何がセキュリティスペシャリストだ、身近な人も救えないようじゃ資格取った意味ないじゃないかと。 身内が被害に合うというのは予想以上にショックが大きく、母親も身内から何をやってるんだと責められまくって意気消沈しまっております。 警察や弁護士、銀行にも相談しましたが、返金はほぼ絶望的な状況(詳細は後述)です。 やはり情報セキュリティいうのは、自分だけが気を付けておけばいいものではなく、家族や身の回りの人達への啓蒙的な活動も重要だと実感しまして、覚えているうちに記事に纏めようと思い立ちました。 知識があっても引っかかってしまう最新の手口 母親が引っかかったのは、フィッシング詐欺の中でもサポート詐欺というものでした。 h
2023年7月にTwitterがXに改名してからも「twitter.com」というURLがそのまま使われてきましたが、iOS版アプリにおいて、投稿内にある「twitter.com」が「x.com」に自動的に置き換えられる施策が始まりました。しかし、自動的に変換しているだけなので、この変換機能を悪用したフィッシングの試行があり、機能はわずか2日ほどで停止となっています。 Twitter’s Clumsy Pivot to X.com Is a Gift to Phishers – Krebs on Security https://krebsonsecurity.com/2024/04/twitters-clumsy-pivot-to-x-com-is-a-gift-to-phishers/ Krebs on Securityのブライアン・クレブス氏によると、現地時間2024年4月9日に「t
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く