大学Webメール狙うフィッシング増加、独自のデザインも模倣(IPA) | ScanNetSecurity
2020.12.01(火)

大学Webメール狙うフィッシング増加、独自のデザインも模倣(IPA)

IPAは、「大学におけるウェブメールサービスを狙ったフィッシングメールに注意~フィッシングの基本の手口を知って、継続的な対策を~」を安心相談窓口だよりとして公開した。

脆弱性と脅威 脅威動向
Webメールサービスを狙ったフィッシングの例
Webメールサービスを狙ったフィッシングの例 全 2 枚 拡大写真
独立行政法人 情報処理推進機構(IPA)は10月31日、「大学におけるウェブメールサービスを狙ったフィッシングメールに注意~フィッシングの基本の手口を知って、継続的な対策を~」を安心相談窓口だよりとして公開した。大学のWebメールサービスを狙ったフィッシング被害が、今年4月から6月にかけて相次いでいる。同時期にIPAへも数件の届出があり、7月、8月にも被害を確認していることから、今後も引き続き注意が必要であるとしている。

これは、大学で利用しているWebメールサービス(Office365、Active!Mail、DeepMail、Gmailなど)のシステム管理者を装い、送信エラーやメールボックスがいっぱいであるなどと記載されたメールが、大学の学生や教職員あてに送られるというもの。

メールにはURLが記載されており、クリックするとWebメールサービスの偽のログインページに誘導される。ここにIDとパスワードを入力してしまうと、それらが詐取される。IPAへの届出情報では、偽ログインページはWebメールサービスの英語版の標準デザインに酷似していた事例や、校章やロゴを使用した大学独自のデザインに模してある事例など、本物のログインページに似せて作られていた。

IDとパスワードを詐取されたケースでは、「当該アカウントの設定を変更され、受信メールが外部転送された」「当該アカウントが踏み台にされ、他大学などへのフィッシングメールが送信された」といった被害が確認されている。

IPAでは対策として、利用者に対しては「フィッシングの手口の基本を知る」「メール内のリンクを安易にクリックしない」「メールの真偽は確かな情報源で確認」を挙げている。また、システム管理者に対しては「システム的なセキュリティ対策の実施」「具体的、継続的な利用者啓発」を挙げている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 三菱電機契約のクラウドサービスに不正アクセス、取引先情報流出

    三菱電機契約のクラウドサービスに不正アクセス、取引先情報流出

  2. NISC、ランサムウェアによるサイバー攻撃に注意喚起

    NISC、ランサムウェアによるサイバー攻撃に注意喚起

  3. 総務省、公にしないとの条件で提供された情報を誤添付しメール送信

    総務省、公にしないとの条件で提供された情報を誤添付しメール送信

  4. 「Disney+」「GitHub」「Imperva」「Tesla」「Zoom」他 9つのセキュリティ侵害分析レポート

    「Disney+」「GitHub」「Imperva」「Tesla」「Zoom」他 9つのセキュリティ侵害分析レポート

  5. iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

    iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

  6. 撤去作業した「ハローワークシステム」バックアップ媒体が所在不明

    撤去作業した「ハローワークシステム」バックアップ媒体が所在不明

  7. 「Peatix」に不正アクセス、最大677万件のユーザー情報流出

    「Peatix」に不正アクセス、最大677万件のユーザー情報流出

  8. 「これまでPPAP推奨したことはない」旨をプライバシーマークのJIPDECが明言

    「これまでPPAP推奨したことはない」旨をプライバシーマークのJIPDECが明言

  9. カプコンへのランサムウェア攻撃で最大35万件の情報流出、「Ragnar Locker」から身代金要求

    カプコンへのランサムウェア攻撃で最大35万件の情報流出、「Ragnar Locker」から身代金要求

  10. 6つのインシデント事例から考えるクラウドのセキュリティ対策、追加開催決定(SHIFT SECURITY)

    6つのインシデント事例から考えるクラウドのセキュリティ対策、追加開催決定(SHIFT SECURITY)PR

ランキングをもっと見る