今回は、ホスティングプロバイダーのWebサイトで個人のアカウントが乗っ取られたという、比較的最近の事例を取り上げます。このタイプのアカウントは、サイバー犯罪者から見てとても魅力的です。このフィッシング攻撃がどのように進行したのか、こういったセキュリティ侵害がどれほどの被害につながるのか、見ていきましょう。
フィッシングの仕組み
そのフィッシング攻撃の始まりは、昔ながらのフィッシングメールでした。メールを受け取った人を怖がらせ、行動を起こさせようとする内容です。メールはホスティングプロバイダーから届いたように見せかけられていて、あなたのアカウントで疑わしいドメインを購入しようとする動きが見られたのでアカウントを一時的に停止した、との旨が記されています。アカウントを取り戻すには、メール内のリンクからWebページにアクセスし、自分の個人アカウントでログインする必要があるとも書かれています。
メールの本文は怪しいところだらけです。差出人であるはずのプロバイダーの名前も会社ロゴもなく、ホスティングプロバイダーが顧客向けに送るメールの共通テンプレートを使ったように見えます。プロバイダー名が出てくるのは1か所だけ、それも送信者名のところです。プロバイダー名とメールのドメインが一致していないのも、明らかに不審です。
メール内のリンクをクリックすると、怪しげなログインページが表示されます。カラースキームも設定されていません。アクセスした人が慌てていて怪しいと気付かないことを願うくらいのレベルです。
どんなフィッシングの場合もそうですが、偽ページにログイン情報を入力するということは、アカウントをサイバー犯罪者に差し出すのと同じことです。この例で言えば、企業Webサイトの内部に入り込むための鍵を渡すようなものです。この偽サイトはなぜかクレジットカード情報まで要求していますが、その目的は定かではありません。
なぜホスティングプロバイダーなのか
先ほどのログインページをよく見てみましょう。サイト証明書については問題ありません。レピュテーションも悪くないようです。それもそのはず、サイバー犯罪者らはこのドメインを自分たちで作成したのではなく、乗っ取って利用しているのです。おそらく、似たような手口を使ってアクセス権を入手したのでしょう。
ホスティングプロバイダーのWebサイト上で個人のアカウントを掌握すると、サイバー犯罪者は何ができるようになるのか。それはプロバイダーによって異なります。ありそうな筋書きとしては、別のコンテンツに再リンクする、Webインターフェイスを通じてサイトのコンテンツをアップデートする、コンテンツ管理用のFTPパスワードを変更するなどが挙げられます。要するに、できることはいくつもあるのです。
具体的な例を考えてみましょう。サイバー犯罪者があなたのWebサイトをコントロールできるようになったとしたら、Webサイトにフィッシングページを追加する、マルウェアダウンロード用のリンクをあなたのWebサイトにホストする、あなたの顧客を攻撃するのにWebサイトを利用する、という可能性が考えられます。つまり、あなたの会社の名前とWebサイトのレピュテーションを、悪しき目的に利用することが可能となるのです。
フィッシングの被害に遭わないために
フィッシングメールは、非常に説得力を持って見える場合があります。本気にしてしまわないようにするには、用心する必要があります。大切なのはやはり、いつもお伝えしているような基本事項です。
- アカウントへのログイン用だというリンクは、決してクリックしない。ホスティングプロバイダーから気になるメールが届いた場合は、メール内にあるリンクをクリックするのではなく、ブラウザーのアドレスバーにホスティングプロバイダーのWebサイトURLを入力してプロバイダーのWebサイトにアクセスし、そこからログインしましょう。
- プロバイダーのWebサイトで、2段階認証を有効にする。2段階認証のオプションがない場合は、そのオプションがいつ追加されるのか問い合わせてみましょう。
- フィッシングメールの典型的な特徴を見分けられるようにする。送信者のメールドメインが送信者の名前と全然関係ない、Webサイトのドメイン名が間違っている、などはよく見られる特徴です。
- 従業員がインターネットアクセスに使用するサーバーと端末のすべてに、企業向けのメールセキュリティソリューションをインストールする。