Check Point Software Technologiesは7月24日(現地時間)、「Check Point Research Reveals Q2 2024 Brand Phishing Trends: Microsoft Tops List While New Entries Signal Shifting Threat Landscape - Check Point Blog」において、2024年第2四半期にフィッシング詐欺に使われたトップブランドを発表した。
フィッシング詐欺に使われたブランドランキング
2024年第2四半期のフィッシング攻撃に悪用されたブランドのトップ10は次のとおり。
- Microsoft (57%)
- Apple (10%)
- LinkedIn (7%)
- Google (6%)
- Facebook (1.8%)
- Amazon (1.6%)
- DHL (0.9%)
- Adidas (0.8%)
- WhatsApp (0.8%)
- Instagram (0.7%)
Microsoftが半数以上で1位になった。Appleは2024年第1四半期の4位から2位へランクを上げた。LinkedInは前回と同じ3位につけた。今回のランキングではAdidas、WhatsApp、Instagramが2022年以来初めてのトップ10入りをした点が注目される。
悪用されたブランドはテクノロジー企業が最も多く、これにSNS企業と銀行が続いている。テクノロジー企業はユーザーの個人情報や財務情報、ほかのアカウントへのアクセスなど多くの機密情報と関連していることが多いため、脅威アクターにとって有益な標的になっているとCheck Point Software Technologiesは分析している。
ランキングで上位に付けたMicrosoft、Google、Amazonについてはユーザーがメール、クラウドストレージ、オンラインショッピングなどで頻繁に使っているため、こうしたサービスプロバイダーから送信されてきたように見えるメッセージに反応してしまう可能性が高い。脅威アクターはこうしたユーザーの行動を狙って詐欺を行っている。
AdidasとInstagramのフィッシングキャンペーン
Check Point Software Technologiesは、2024年第2四半期にAdidasブランドを偽装したWebサイトを使ったフィッシング詐欺を複数確認したと報告した。例として、本物のAdidas Yeezyサイトのように作成されたadidasyeezys[.]czおよびadidasyeezys[.]it、公式のAdidasプラットフォームを模倣したadidas-ozweego[.]frおよびadidascampus[.]co[.]atが取り上げられている。
2024年第2四半期にInstagramブランドを利用してオンライン詐欺を働くキャンペーンを多数確認したことも報告されている。その結果として、Instagramが今回のリストトップ10入りを果たしたと説明している。例としてログイン画面を模倣したinstagram-nine-flame[.]vercel[.]app/loginやInstagramアカウント検証を装ったinstagram-verify-account[.]tkが取り上げられている。
フィッシング詐欺は依然として蔓延中
Check Point Software Technologiesはフィッシング詐欺は蔓延しているサイバー脅威の一つであり、他の大規模な攻撃の入り口になることもよくあると指摘。こうしたサイバー攻撃から身を守るためにユーザーは送信者のメールアドレスを常に確認することや、迷惑リンクをクリックしないこと、アカウントで多要素認証(MFA: Multi-Factor Authentication)を有効化することなどをアドバイスしている。