2022年第2四半期にフィッシング詐欺で最も標的にされたブランド, 第1位はまたもやLinkedIn, 第2位にはMicrosoftが急浮上

 
包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジー（Check Point® Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント） の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、2022年第２四半期のBrand Phishing Reportを公開しました。本レポートでは４月～６月の四半期間を対象として、サイバー犯罪者が個人情報や支払いの認証情報を盗むために最もなりすましに利用したブランドを発表しています。

ランキングでは、第1四半期に引き続きLinkedInが第1位となり、Microsoftが2位に急浮上しました。また、今回新たにadidas、Adobe、HSBCの３つのブランドがトップ10に登場しています。いずれも割合は１桁台前半でしたが、第３四半期はこれらのブランドの動向を注視していくことになるでしょう。

■2022年第２四半期 ブランドフィッシングの標的上位
1.     LinkedIn （45%）
2.     Microsoft （13%）
3.     DHL （12%）
4.     Amazon （9%）
5.     Apple （3%）
6.     adidas （2%）
7.     Google （1%）
8.     Netflix （1%）
9.     Adobe （1%）
10.  HSBC （1%）

■LinkedInが第1四半期に引き続き1位に
第１四半期に初めてランキングに登場したソーシャルメディアプラットフォームのLinkedInは、前回に引き続き、最もなりすましに利用されたブランドの第１位に君臨しています。フィッシング詐欺全体のうちLinkedIn関連の詐欺が占める割合は、第２四半期では45％となり、第１四半期の52％からわずかに減少しました。しかしこの数字は、広く信頼されているプラットフォームであるLinkedInのユーザーが、引き続きリスクに直面していることを浮き彫りにしています。

また、カテゴリー別では、引き続きソーシャルネットワークサービス（SNS）が最もなりすまされたブランドカテゴリーの１位に留まっており、続く２位には、運送業を追い抜いてテクノロジー業界がランクインしました。

LinkedInを装ったフィッシングメール – アカウント盗用の例
LinkedInの名前を利用したフィッシング攻撃では、ビジネス向けSNSのコミュニケーションスタイルを模倣した悪質なメールが送信されています。こうした悪質メールは、「今週、８件の検索であなたの名前が表示されました」や「新しいメッセージが１件あります」、「LinkedInを通じた取引を希望しています」などの件名を用いています。これらはLinkedInから送信されたように見えますが、実際はLinkedInのアドレスとは全く異なるメールアドレスが使われていました。

下記の例は、ウェブメールのアドレスから送信されていますが、「LinkedIn Security （mlayanac@armada.mil[.]ec）」から送信されたかのように偽装されています。このメールの件名には「LinkedIn Notice!!!（LinkedInからの通知！！！）」と記載されており、本文ではLinkedInアカウントのバージョンアップという名目で不正なリンクをクリックさせようとしています（画像１参照）。このリンクをクリックすると、「https://lin882[.]webnode[.]page/」というURLに誘導され、LinkedInのアカウント情報を入力するよう要求されます（画像２参照）。
 

                           画像１：「LinkedIn Notice!!!」という件名で送信された悪質なメール
 

       画像２： LinkedInのアカウント情報を確認させる不正なページ（https://lin882[.]webnode[.]page/）

■Microsoftの急浮上
テクノロジー業界の中でも最も顕著な上昇を見せたのはMicrosoftで、フィッシング詐欺全体に占める割合は第１四半期から２倍以上の13％まで増加し、DHLの12％を抜いて3位にランクインしました。

Microsoft関連の詐欺の増加は、個人と組織の両方にとって危険なことです。ひとたび誰かがアカウントのログイン情報を手に入れてしまえば、彼らはそのユーザーのTeamsやSharePointなどすべてのMicrosoftアプリケーションにアクセスできるようになり、Outlookの電子メールアカウントも明らかな危険にさらされることになります。

Outlookを装ったフィッシングメール – アカウント盗用の例
このフィッシングメールは、Outlookのユーザーのアカウント情報を盗もうとするものです。このメールは「Outlook OWA （mike@vokertech[.]com）」のアドレスから送信されており、件名には「[Action Required] Final Reminder - Verify your OWA Account now（[要対応]最終リマインダー – OWAアカウントを確認してください）」と記載されています（画像3参照）。攻撃者はユーザーに悪意あるリンクをクリックさせ、Outlookのウェブアプリケーションを装う偽のログインページに転送しようとしています（画像4参照）。このリンク先（jfbfstxegfghaccl-dot-githu-dir-aceui-xoweu[.]ue[.]r[.]appspot[.]com）で、ユーザーはユーザー名とパスワードの入力を求められます。
 

 画像３：「[Action Required] Final Reminder - Verify your OWA Account now」という件名の悪質なメール

 

                                                         画像４：不正なログインページ
                         （jfbfstxegfghaccl-dot-githu-dir-aceui-xoweu[.]ue[.]r[.]appspot[.]com）

■DHLを装ったフィッシングメール - アカウント盗用の例
オンラインショッピングのトレンドが加速する中、第２四半期のフィッシング詐欺全体のうち12％を運送会社DHLへのなりすましが占めたことも驚くに値しません。今回のレポートでは、「Incoming Shipment Notification（配送のお知らせ）」という件名で、消費者に悪意あるリンクをクリックさせようとするフィッシング詐欺の具体例にも言及しています。

2022年の第２四半期には、DHLの名前を使ったフィッシングメールも確認されています。このメールはウェブメールのアドレスから送信されていますが、「DHL EXPRESS（track@harbormfreight[.]com）」 から送信されたかのように偽装されています。件名には「Incoming Shipment Notification（配送のお知らせ）」と書かれており、本文では被害者を悪質なリンク（https:// delicate-sea-3417.on.fleek.co）へと誘導しています（画像５参照）。被害者はそのページでユーザー名とパスワードを入力するよう求められます（画像６参照）。
 

                          画像５：「Incoming Shipment Notification」という件名の悪質なメール
 

                         画像６：不正なログインページ（https:// delicate-sea-3417.on.fleek.co）

■Amazonを装ったフィッシングメール - 請求情報の窃取の例

オンラインショッピングの需要が続く中、AmazonはDHLに続き4位にランクインしました。このフィッシングメールは、ユーザーの請求情報を盗み出そうとするものです。このメール（画像７参照）は、「Amazon （fcarvache@puertoesmeraldas[.]gob[.]ec）」というアドレスから送信され、件名には「Your amazon account verification（お客様のamazonアカウントの確認）」と記載されています。この件名と本文は、被害者に悪意あるリンクをクリックさせ（https://main[.]d1eoejahlrcxb[.]amplifyapp[.]com）、請求情報の入力を求める不正なページへ転送するものです（画像８参照）。

 

                        画像７：「Your amazon account verification」という件名の悪質なメール

 

         画像８：請求情報を入力させる不正なページ（https://main[.]d1eoejahlrcxb[.]amplifyapp[.]com）

■信用できる有名ブランドの名を借りた詐欺に注意
チェック・ポイントのデータリサーチグループマネージャー、オマー・デンビンスキー（Omer Dembinsky）は次のように述べています。「フィッシングメールは攻撃を素早く展開でき、比較的低コストで数百万人のユーザーを標的にすることができるため、あらゆるハッカーにとって有力な武器になっています。サイバー犯罪者たちは人々に信用されているブランドの評判を利用してユーザーに偽の安心感を与え、その安心感を悪用して個人情報や商業情報を盗み出し、金銭的な利益を得ているのです。

十分な知名度と消費者の信頼があるブランドであれば、サイバー犯罪者はどんなブランドでも利用します。今回、adidas、Adobe、HSBCがトップ10に初登場したことからも、ハッカーの活動が拡大していることが分かります。ハッカーたちは、これらのブランドに対する私たちの信頼と、“お得な取引”を求める人間の本能を利用していす。ハッカーたちがブランドを悪用したフィッシングを続けている理由はただ１つ、それがうまくいくからです。したがって、消費者は慎重に行動し、誤った文法やスペルミス、不審なドメイン名など、偽のメールであることを示すサインに注意する必要があります。疑わしい場合は、メール内のリンクをクリックするのではなく、そのブランドの公式ウェブサイトにアクセスしてください」

ブランドを利用したフィッシング詐欺は、私たちがよく知っているブランドへの暗黙の信頼を利用し、類似したURLを用いてブランドイメージを借用するだけでなく、「割引のチャンスを逃したくない」という人々の感情をも利用します。フィッシングメールがもたらす切迫感によって、消費者はメールが本当にそのブランドのものかどうかを確認することもなく、急いでリンクをクリックしてしまいます。その結果、マルウェアをダウンロードしたり、個人を特定できる貴重な情報を犯罪者たちに渡したりすることになり、オンライン世界のすべての情報へアクセスされ、金銭的損失を被ってしまう可能性があります。

 本プレスリリースは、米国時間2022年7月19日に発表されたプレスリリース < https://www.checkpoint.com/press/2022/linkedin-still-number-one-brand-to-be-faked-in-phishing-attempts-while-microsoft-surges-up-the-rankings-to-number-two-spot-in-q2-report/ >をもとに作成しています。

Check Point Researchについて 
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud < https://www.checkpoint.com/infinity-vision/threatcloud/ >に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/ 
Twitter: https://twitter.com/_cpresearch_ 

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。チェック・ポイントのソリューションは、第5世代のサイバー攻撃からお客様を守り、マルウェア、ランサムウェアを含む多様な攻撃に対して業界トップクラスの捕捉率を誇っています。第5世代の脅威に対応するマルチレベルの統合セキュリティアーキテクチャInfinityにより、企業のクラウド、ネットワーク、モバイルデバイスが保有する情報を保護します。チェック・ポイントは、最も包括的かつ直感的なワンポイントコントロールのセキュリティ管理システムを提供し、10万を超えるあらゆる規模の企業および組織のセキュリティを維持しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。