こんにちは！半田貞治郎です。

フィッシング攻撃は、サイバー犯罪の主流として進化を続けています。従来の偽サイトへの誘導に加え、サポート詐欺という新たな手法も登場しました[1]。この手口では、偽のセキュリティ警告を執拗に表示し、表示された番号に電話をかけさせるという巧妙な手段を用います[1][4]。

最近では、2要素認証を突破する高度なフィッシング攻撃も増加しています。攻撃者は偽のWebサイトを作成し、ユーザーに2要素認証のワンタイムパスワードを入力させることで、本物のログインページにアクセスします[4]。この手法により、従来は安全とされていた2要素認証も簡単に突破されてしまう可能性があります。

さらに、標的型攻撃の新たな手口として、海外からのインタビュー依頼を装い、マルウェアを仕込んだツールをダウンロードさせる手法も報告されています。これにより、PC内の認証情報や仮想通貨のトークンが盗まれる被害が発生しています[3]。

フィッシング攻撃への対策として、単に「怪しいWebサイトにアクセスしない」という基本的な注意だけでは不十分です。より高度な対策が求められる時代になっています[1]。例えば、サポート詐欺に対しては、突然表示される警告画面を信用せず、公式のサポート窓口に直接連絡することが重要です[2]。

また、フィッシング被害に遭った場合の対応も重要です。警察庁や各地区の警察署の「サイバー犯罪相談窓口」に相談し、偽のセキュリティ警告画面やダウンロードしたファイルなどの証拠を保存しておくことが推奨されます[3]。

最後に、フィッシング攻撃は常に進化しており、完全に防ぐことは困難です。しかし、最新の攻撃手法や対策について常に情報を更新し、警戒を怠らないことが重要です。組織としては、従業員に対する継続的なセキュリティ教育を実施し、フィッシング攻撃に対する意識を高めることが求められます[1][2]。

Citations:
[1] https://office110.jp/security/knowledge/cyber-attack/phishing-scam
[2] https://www.lac.co.jp/lacwatch/service/20240618_004029.html
[3] https://cybersecurity-jp.com/column/32760
[4] https://www.trendmicro.com/ja_jp/what-is/phishing/types-of-phishing.html
[5] https://www.trendmicro.com/ja_jp/what-is/phishing/phishing-attacks.html
[6] https://www.shiftsecurity.jp/blog/20230609
[7] https://www.ipa.go.jp/security/kokokara/accident/
[8] https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/basic/risk/06/