フィッシング攻撃は、サイバー犯罪の中でも最も広範な脅威の一つであり、しばしばサプライチェーン全体にわたる大規模な攻撃の入り口となります。Check Point Research(CPR)は、2024年の第2四半期における最新のブランドフィッシングランキングを発表し、サイバー犯罪者が個人情報や支払い情報を盗むために最も頻繁に模倣するブランドを明らかにしました。
トップフィッシングブランド
2024年第2四半期において、最も模倣されたブランドはMicrosoftであり、全フィッシング試行の57%を占めました。Appleは第1四半期の4位から2位に上昇し、10%のシェアを占めました。LinkedInは前回と同じく3位を維持し、7%のシェアを持っています。さらに、Adidas、WhatsApp、Instagramが2022年以来初めてトップ10に登場しました。
2024年第2四半期のブランドフィッシングランキング
Microsoftがフィッシング攻撃の標的となる理由
広範なユーザー基盤
Microsoft Office 365は世界中で約3億5000万人のユーザーを抱えており、攻撃者にとって非常に魅力的なターゲットとなっています。この広範なユーザー基盤は、フィッシング攻撃の成功率を高める要因となります。
企業環境での高い利用率
多くの企業がMicrosoft製品を業務に使用しているため、攻撃者は企業ネットワークへの侵入口として狙いやすくなっています。特に、企業のメールシステムやクラウドストレージが標的となることが多いです。
横展開の可能性
Microsoft 365環境へのアクセスを得ることで、攻撃者はOutlookやSharePointなど他のサービスにも侵入し、さらなる攻撃を展開できる可能性があります。このように、一度の侵入で複数のサービスにアクセスできる点が攻撃者にとって魅力的です。
機密情報へのアクセス
企業のメール、ドキュメント、財務情報などの機密データがMicrosoft製品に保存されていることが多く、攻撃者にとって価値の高い情報が得られる可能性があります。
ブランドの信頼性
Microsoftは信頼されているブランドであるため、ユーザーはMicrosoftからのメッセージだと思い込みやすく、フィッシング攻撃に引っかかりやすくなります。この信頼性が攻撃の成功率を高めています。
ブランドとその攻撃手法
2024年第2四半期には、Adidas、WhatsApp、Instagramがフィッシング攻撃のターゲットとして新たにトップ10にランクインしました。
Instagram
instagram-nine-flame[.]vercel[.]app/loginなどのフィッシングページを通じて、ユーザー名やパスワードを騙し取る手法が増えています。
Adidas
adidasyeezys[.]czやadidas-ozweego[.]frなどのフィッシングサイトを使い、ユーザーから認証情報を盗むキャンペーンが観察されました。
フィッシング攻撃の統計とトレンド
毎日約3.4億件のフィッシングメールが送信されており、その多くがロシアから発信されています。特に、ミレニアル世代やZ世代のインターネットユーザーが被害に遭いやすいことが示されています。さらに、生成AIの普及により、フィッシング攻撃の多様性と精巧さが増しています。
モバイルフィッシングの増加
モバイルフィッシングも増加しており、SMSテキストを介した攻撃が一般的です。モバイルデバイスは、認証情報の盗難やマルウェアの配信に狙われやすくなっています。
フィッシング攻撃から身を守るための防御策
- 送信者のメールアドレスを確認する
不審なメールアドレスからのメールには注意が必要です。
- 未承諾のリンクをクリックしない
知らないリンクをクリックしないことが重要です。
- 多要素認証(MFA)の導入
アカウントのセキュリティを強化するために、MFAを有効にすることを推奨します。
- セキュリティソフトウェアの使用
セキュリティソフトを最新の状態に保ち、フィッシング攻撃から身を守りましょう。
まとめ
フィッシング攻撃は日々進化しており、個人や組織は最新の脅威に対応するための防御策を講じる必要があります。最新のフィッシング動向を理解し、適切な対策を実施することで、被害を最小限に抑えることが可能です。