最新詐欺事例速報

最新フィッシング詐欺事例：クラウドサービスアカウント情報窃取を狙う巧妙な手口と多要素認証を突破する可能性のある手口、対策

クラウドサービスの利用が一般化するにつれて、それらのアカウント情報を狙うフィッシング詐欺が巧妙化しています。特に、二段階認証や多要素認証（MFA）を設定している組織や個人もターゲットとされており、認証情報を窃取される被害が後を絶ちません。本記事では、最新のフィッシング詐欺手口、特に多要素認証をすり抜けようとする手法に焦点を当て、その識別方法と企業として講じるべき対策について解説いたします。中小企業におけるシステム担当者や総務担当者の皆様が、従業員のセキュリティ意識向上や具体的な対策を実施する上で役立つ情報を提供いたします。

詐欺事例の詳細：巧妙化するクラウドサービスアカウント窃取の手口

従来のフィッシング詐欺は、偽のログインページに誘導してユーザー名とパスワードを窃取することを主な目的としていました。しかし、多要素認証の普及に伴い、攻撃者はその対策を講じるようになっています。

最新の手口では、単にID/PWを窃取するだけでなく、多要素認証をも突破しようと試みます。具体的な手法としては、以下のようなものが見られます。

1. リアルタイムフィッシング（MFAリレー攻撃、AiTM攻撃など）:

   • 攻撃者は、ターゲットにフィッシングメールやSMSを送り、偽のログインページへ誘導します。
   • ユーザーが偽ページでユーザー名とパスワードを入力すると、攻撃者はそれをリアルタイムで正規のログインページに入力します。
   • 正規サービス側から多要素認証の要求（例：認証アプリへのプッシュ通知、SMSで送られるワンタイムパスワード）がユーザーの正規デバイスに送信されます。
   • フィッシングページは、ユーザーに対し「セキュリティのため、多要素認証コードを入力してください」「認証アプリで承認してください」などと要求します。
   • ユーザーが要求に応じて多要素認証を実行（コード入力や承認）すると、攻撃者のセッションが正規サービスへのアクセス権を得てしまいます。ユーザーは正規サイトにログインできたと誤認することが多いです。
   • この手口では、攻撃者がユーザーと正規サービス間の通信を中継し、多要素認証のステップすらも偽装または悪用します。

2. MFA Bombing/Spamming (承認疲れ攻撃):

   • 攻撃者は窃取した（または過去に漏洩した）ID/PWを使用し、正規サービスへのログインを試みます。
   • ログイン試行が繰り返されると、ユーザーのデバイスに多要素認証の承認要求（プッシュ通知など）が大量に送信されます。
   • ユーザーは身に覚えのない承認要求に困惑し、誤って「承認」ボタンを押してしまう、あるいは通知が煩わしいと感じて承認してしまうことを狙います。

3. 特定のMFA方式の弱点を突く:

   • SMSで送られるワンタイムパスワード（SMS-OTP）は、SIMスワップなどの手法により傍受されるリスクがあります。
   • 古くからある、電話音声によるワンタイムパスワードも同様のリスクを抱える場合があります。

これらの手口でアカウント情報やセッション情報を窃取されると、クラウド上の重要なデータにアクセスされたり、アカウントが悪用されて他のユーザーへの攻撃の踏み台とされたりする重大な被害に繋がります。

識別方法/見抜くポイント

巧妙化するフィッシング詐欺を見抜くためには、以下のような点に注意が必要です。

• 送信元メールアドレス/電話番号の確認: 正規のドメイン名や番号と一致しているか、不審な文字列が含まれていないかを確認します。ただし、最近は正規に酷似したアドレスを使う手口も増えています。
• URLの確認: メールやメッセージ内のリンクURLが、正規のサービスURLと一致しているかを慎重に確認します。短縮URLは安易にクリックせず、可能であればプレビュー機能などで実際のURLを確認します。不自然なサブドメインや長いパス、スペルミスがないかチェックします。
• 本文の確認: 不自然な日本語、誤字脱字、不自然な敬語、過度な緊急性や危機感を煽る表現がないか確認します。「今すぐ〇〇しないとアカウントが停止される」「不正利用の兆候があるため確認を求める」といった文面には注意が必要です。
• 要求内容の確認: 個人情報、特にパスワードや多要素認証コード、クレジットカード情報などの入力を求める要求には警戒が必要です。正規サービスがメールやSMSでこれらの情報を直接入力させることはほとんどありません。
• 多要素認証のタイミング: 自分がログイン操作を行っていないにも関わらず、多要素認証の承認要求やコード通知が来た場合は、誰かがあなたのアカウントでログインを試みているサインです。安易に承認したり、コードを入力したりしてはいけません。
• 公式チャネルでの確認: 不審な通知やメールを受け取った場合、メール内のリンクや連絡先を使用せず、企業の公式ウェブサイトやサービス提供事業者の正規のサポート窓口、あるいは社内のシステム担当者（あなた自身）に直接問い合わせて事実を確認することが最も安全です。

具体的な対策

クラウドサービスのアカウント情報を守り、フィッシング詐欺の被害を防ぐためには、技術的な対策と組織的な対策の両方が重要です。

1. 技術的対策

• 強力な多要素認証（MFA）の導入・強化: SMS-OTPなどの比較的傍受リスクがある方法から、FIDO認証（生体認証、セキュリティキー）や認証アプリ（TOTP、プッシュ通知）など、より安全性の高いMFA方式への移行を検討します。特に、多要素認証の承認要求にログイン元のIPアドレスや位置情報などが表示される設定になっているか確認し、従業員にもその確認方法を周知します。
• パスワード管理ツールの利用推進: 従業員に対してパスワードマネージャーの利用を推奨し、フィッシングサイトでのパスワード入力を防ぎます。
• メールセキュリティ対策: SPF, DKIM, DMARCといった送信ドメイン認証技術の設定を適切に行い、詐称メールが従業員に届きにくくします。可能であれば、添付ファイルやリンクのスキャン機能を持つメールセキュリティ製品を導入します。
• Webフィルタリング/URLフィルタリング: 悪意のあるWebサイトへのアクセスをブロックする対策を講じます。
• アカウントの監視: クラウドサービスのログイン履歴やアクティビティログを定期的に確認し、不審なアクセスがないか監視します。
• ソフトウェアのアップデート: OS、ブラウザ、セキュリティソフトウェアなどは常に最新の状態に保ち、既知の脆弱性を悪用されないようにします。

2. 組織的対策

• 従業員への定期的なセキュリティ教育: 最新のフィッシング詐欺の手口、特に多要素認証を突破しようとする手法について、具体的な事例を用いて従業員に教育します。定期的なeラーニングや研修を実施し、脅威に対する認識を常にアップデートさせることが重要です。
• インシデント対応計画: フィッシング詐欺被害やアカウント侵害が発生した場合の報告フロー、初期対応、関係各所への連絡手順などを事前に定めておきます。
• パスワードポリシーの見直し: 推測されにくい複雑なパスワードの使用を義務付け、定期的な変更を推奨（ただし、多要素認証が強力であれば変更頻度を下げることも検討可能）します。
• アカウント管理の徹底: 退職者や異動者のアカウントは迅速に無効化または権限を適切に見直し、不要なアカウントを残さないようにします。

従業員への注意喚起のポイント

中小企業の担当者として、従業員にフィッシング詐欺、特に多要素認証をすり抜ける手口への注意喚起を行うことは非常に重要です。以下の点を明確に伝えることを推奨します。

• 「少しでも怪しいと感じたら、絶対にクリックや入力をしない」を徹底すること。
• メールやメッセージ内のリンクからアクセスするのではなく、正規のサービスサイトにはブックマークなどから直接アクセスする習慣をつけること。
• 身に覚えのない多要素認証の承認要求が来たら、絶対に「承認」を押さずに拒否すること。 （MFA Bombing対策）
• いかなる理由であっても、パスワードや多要素認証コードをメール、電話、SMSなどで他人に教えないこと。
• 不審なメール、SMS、Webサイトを発見したり、アカウントに身に覚えのない動きがあったりした場合は、すぐに社内のシステム担当者（または指定された窓口）に報告すること。 報告をためらわない文化を作ることが重要です。

これらの注意喚起は、社内ポータル、メール、チャットツール、会議での周知など、様々な方法で繰り返し行うことが効果的です。具体的な事例（「こんなメールが来たら要注意！」など）を提示すると、従業員の理解を深めるのに役立ちます。

まとめ

クラウドサービスのアカウント情報を狙うフィッシング詐欺は日々巧妙化しており、多要素認証をもってしても完全に安全とは言えなくなっています。最新の手口、特に多要素認証を突破しようとする手法を知ることは、適切な対策を講じる上で不可欠です。技術的な防御策の強化に加え、従業員一人ひとりのセキュリティ意識向上と具体的な行動が、組織全体のセキュリティレベルを高める鍵となります。

常に最新の脅威情報を収集し、組織の実情に合わせた対策を継続的に実施していくことが求められています。本記事が、皆様の組織のセキュリティ対策の一助となれば幸いです。