JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は11月16日、Webメールサービスのアカウントを標的としたフィッシング詐欺が活発化しているとして注意喚起を促した。同センターによると、Webメールのアカウント情報を窃取を目的とした攻撃は2020年初頭から確認されているものの、2021年6月以降、被害報告件数が増加しており、対策を徹底することが推奨されるという。
-
Webメールサービスのアカウントを標的としたフィッシングに関する報告件数 ー 出典:JPCERRT/CC
Webメールのアカウントを狙った攻撃の多くは、サービスのメンテナンスやお知らせなどを偽装したメールによって行われる。メールの本文に記載されているリンク先へアクセスすると、同サービスのログイン画面になりすました偽のサイトに誘導される。そこで誤ってメールアドレスやパスワードなどの認証情報を入力してしまうと、攻撃者にアカウント情報を盗み取られることになる。攻撃者は、盗み取ったアカウント情報をさらに別のフィッシング攻撃に転用することもある。
JPCERT/CCでは、このような被害を防ぐために、次のような対策を徹底するよう呼びかけている。
- メールの文中のリンクは安易にクリックしない
- リンク先がログイン画面となるものは危険なサイトと考え、パスワードなどを入力しない
- 正しいドメイン名を確認し、メールのリンクではなくWebブラウザに登録したブックマークから接続する
JPCERT/CCの注意喚起では、具体的な攻撃手法や攻撃を受けた場合の推奨される事後対応などが詳しくまとめられている。また、フィッシング詐欺に対する一般的な対策については、フィッシング対策協議会より次のようなガイドラインが公開されているため、こちらも確認することをお勧めしたい。
Rustで有名アルゴリズムに挑戦 第17回 RustでHTTPサーバを実装してみよう
