2025年6月27日 週刊インシデントまとめ

フィッシング詐欺と言えばメールやSMSによるものを思い浮かべがちですが、電話などの音声を使ったボイスフィッシングにも注意が必要です。

攻撃者は金融機関などを名乗ったり、生成AIを悪用し企業のCEOなどの声を装う事例も報告されています。攻撃者の目的はメールによる攻撃と同様、個人情報や金融情報を窃取しようとしたり、聞き出したメールアドレス宛にフィッシングメールを送信し情報を入力させる手口も確認されています。

基本的な対策もメールなどによるフィッシング攻撃と同じく、多要素認証（MFA）やFIDO認証、デバイス証明書などを有効的に活用することが推奨されます。

ITサービスなど幅広い領域で事業を展開しているNTTデータグループは、サイバーセキュリティに関するグローバル動向についての調査結果を公表しました。

このレポートでは、2025年度には全国で約2,770万人がマイナンバーカードの更新を迎えることに言及しています。この大量の更新者による電子証明書の更新を狙ったフィッシング詐欺などのサイバー攻撃が行われる可能性を指摘しています。

届いたメールのURLを安易にクリックしないために、事前に公式アプリをインストールしたりウェブサイトをブックマークしたりしておくことが大切です。また、緊急性を煽るような内容が書かれていても焦らず、一度落ち着いて判断することが肝要です。

FBI（米連邦捜査局）は現在、全米で急増しているSMSを使った通行料詐欺に対し、緊急の注意喚起を行っています。この詐欺は、あたかも運輸局（DMV）からの未払い通行料の通知を装ったテキストメッセージを送りつけ、受信者に偽のリンクをクリックさせることで、クレジットカード情報などの個人情報を盗み取ろうとする手口です。

メッセージに含まれるリンク先は、本物の政府機関のサイトに似せた偽の決済ページで、ロゴやフォント、色使いまで巧妙に模倣されています。また、遅延料金や法的措置を示唆するなど、受信者の不安をあおって冷静な判断を鈍らせる仕組みになっています。

このようなメッセージには、名前や車両番号の記載がない、文法の誤りがあるなどの特徴があります。FBIは、不審な点が少しでもある場合は、リンクは決して開かず、すぐにメッセージを削除し、必要に応じて正規の機関に直接確認するよう呼びかけています。

サイバーセキュリティ企業Positive Technologiesの報告によると、正体不明の攻撃者が世界各国のMicrosoft Exchangeサーバーを標的に、ログインページにキーロガーを埋め込んで認証情報を盗み出す攻撃が確認されました。これまでに26カ国・65の組織が被害を受けており、政府機関、銀行、IT企業、教育機関など多岐にわたる業種が含まれています。

この攻撃は、ProxyShellやProxyLogonなど、Microsoft Exchange Serverに存在する既知の脆弱性を悪用し、Outlookのログイン画面にJavaScript製の不正コードを挿入することで実行されます。ユーザーがIDやパスワードを入力すると、それらの情報が盗まれる仕組みです。

Positive Technologiesの研究者は、「多くのExchangeサーバーが古い脆弱性の対策を行っていないため、攻撃者は正規の認証ページに悪意あるコードを埋め込み、ユーザーのIDやパスワードを暗号化されていない状態のまま、長期間にわたり密かに盗み続けている」と警鐘を鳴らしています。