今週は、詐欺について 3 つの記事が同じようなニュースを報じました。攻撃者は単にシステムに侵入するのではなく、人を誘導する技術がますます巧みになっているという内容です。ソーシャル エンジニアリングが関わる侵入が相次ぎ、配信プラットフォームの大手が侵害されたうえで恐喝されたことを認めました。また、大手テクノロジー企業に関するニュースから、多くの人がアプリによるデータの扱い方を再考するようになっています。
毎週お送りしているこのまとめシリーズでは、詐欺やサイバーセキュリティに関するニュース記事を取り上げ、その実際のしくみを解説しています。早期のうちからリスクを見極められるので、攻撃者の策略にはまってしまうのを避けることができます。では、今週の分を見ていきましょう。
一連のサイバー攻撃で Bumble、Match、Panera、CrunchBase が被害に
概要:
複数のブランドが、フィッシングやビッシングなどのソーシャル エンジニアリングを利用するサイバーセキュリティ インシデントの被害を受けました。
事件の経緯:
Bumble、Match Group、Panera Bread、CrunchBase の各社がインシデントの発生を認めたと Bloomberg が報じました。
Bumble によると、ある契約業者のアカウントがフィッシングのインシデントで侵害され、同社ネットワークのごく一部が短時間だけ不正にアクセスされました。会員データベース、アカウント、メッセージ、プロフィールはアクセスされなかったということです。
Panera Bread は、以前データの格納に使っていたソフトウェア アプリケーションが攻撃者にアクセスされたと報告しました。影響を受けたデータには、連絡先情報も含まれていたといいます。
Match Group によると、インシデントの影響を受けたのは限定的なユーザー データだけで、ユーザーのログイン情報、財務情報、プライベートな会話はアクセスされていませんでした。
CrunchBase は、同社の社内ネットワーク上にあった文書が影響を受けたものの、そのインシデントは封じ込めたと話しています。
Bloomberg によると、ShinyHunters と名乗るグループが関与したと見られるハッキング活動について、サイバーセキュリティ企業の Mandiant も警告を発したとのことです。このグループはビッシングを利用しており、詐欺電話をかけて、相手からログイン情報を聞き出しています。ひとたびログイン情報を手にすると、攻撃者は企業各社が毎日使っているクラウド ツールやオンラインの業務システムにアクセスできるようになります。最近の攻撃の一部に関与していると同グループは表明していますが、それ以外の確認はとれていません。
注意すべき挙動:
ログインの承認、認証情報のリセット、ワンタイム コードの共有などを電話で求めてくる
IT サポート、ベンダー、「セキュリティ企業」を名乗るメッセージが対応を急がせる
心当たりのない多要素認証 (MFA) のコードが届く
「緊急の通知」と称して通常の社内プロセスの迂回を求める
動作のしくみ:
ソーシャル エンジニアリングが通用するのは、日常生活に溶け込んでくるからです。もっともらしいメッセージや電話で、ちょっとした「理屈に合った」ことを求められます。プロンプトを承認する。コードを読み上げる。アクセスをリセットする。それができさえすれば、攻撃者は正規の認証情報を使って侵入でき、そこから貴重なデータのあるツールに入り込めるのです。
TikTok のプライバシー ポリシー更新に反発の声
そう。このブログ シリーズは「This Week in Scams (今週の詐欺)」と銘打っていますが、サイバーセキュリティのニュースレターでもあります。テクノロジーとプライバシーに関する今週最大の話題といえば、TikTok がプライバシー ポリシーを更新したことでしょう。その話をしなければなりません。
概要:
TikTok の利用規約とプライバシー ポリシーが更新され、収集されるデータの内容、特に位置情報をめぐって新たな疑問が生じています。
事件の経緯:
TikTok は先週、今年はじめに ByteDance から分離した TikTok アプリが新しい米国企業の管理下に入ったと発表しました。同日、TikTok が利用規約と新しいプライバシー ポリシーを更新したと CBS が報じたことをうけ、SNS 上で反発が起こりました。
CBS の報道によると、懸念されている最大の問題点は、ユーザーがデバイスの設定で位置情報サービスを有効にしていると TikTok がその詳細な位置情報を収集する可能性があるという文言です。報道によれば、これは以前のポリシーの文面から変わった点であり、TikTok は詳細な位置情報が公開されるタイミングについてオプトインとオプトアウトを米国内のユーザーが選択できるようにする予定だと話しています。
CBS によると、新しいプライバシー ポリシーのもとでは TikTok が個人データを連邦政府や地方自治体と共有するハードルも下がるのではないかと懸念するユーザーもいるということです。
その懸念の根拠になっているのが、TikTok は「かかる機密の個人情報を、準拠法に従って処理する」と述べているポリシーの文言です。
現実に即して簡潔にまとめると、こうなります。「プライバシー ポリシーをめぐるドラマ」は最終的にユーザーが実際に制御できる点に行き着く、それがアプリに対する許可だということです。
対処方法 (プライバシーに関する一般的な手順):
スマホで TikTok の設定を開き、位置情報へのアクセスが「オフ」「使用中のみ」「常時」のいずれになっているかを確認します。
デバイスが対応している場合、位置情報を実際には必要としないアプリに対して詳細な位置情報をオフにします。
他の SNS アプリでも許可設定をざっと確認します。位置情報、連絡先、写真、マイク、カメラ、Bluetooth などです。
自分のアカウントが、使い回していない強力なパスワードと二要素認証で保護されていることを確認します。
注:これは、特定のアプリを削除するかしないかというアドバイスではありません。デバイスの設定が重要であり、再確認する意味があるというリマインダーです。
Grubhub がデータ侵害とそれに伴う恐喝があったことを認める
概要:
支払い情報は影響を受けていないと Grubhub 社が発表した時点でも、侵害によるリスクは生じる可能性がありました。盗まれたデータはフィッシングに再利用されることが多いからです。
事件の経緯:
BleepingComputer によると、Grubhub は許可を受けていない個人に特定のシステムからデータがダウンロードされたことを認め、その活動を調査したうえで停止させて、セキュリティ強化の対策をとっているということです。BleepingComputer が得た情報源によれば、Grubhub は盗み出されたデータをめぐって恐喝を受けているといいます。同社は、財務情報や注文履歴といった機密情報は影響を受けていないと発表していますが、その時期や範囲に関する詳細は明らかにされていません。
今後注意すべき挙動:
データ侵害が報じられると、それにつけ込んだ詐欺が続くことも珍しくありません。次のような挙動には警戒が必要です。
心当たりがないのに「返金」あるいは「注文の処理に問題があります」などの件名でメールが届く
偽のカスタマー サポート メールがアカウント情報の確認を求めてくる
依頼していないパスワード リセットの指示がある
既知の公式ドメインからではなく、「アカウント解除」のリンクが届く
動作のしくみ:
カスタマー サポート システムには個人の詳細データが記録されており、それを利用すると詐欺が本物らしく感じられます。名前、メール アドレス、アカウント情報があれば、攻撃者は正規のサポートにそっくりのメッセージを作成でき、特にそのブランドがすでにニュースで話題になっているときには、信憑性が高くなります。 
密かにアカウントを乗っ取る不正な Chrome 拡張機能
概要:
正規の業務用ツールのように見えるブラウザー拡張機能の一部が、実際にはアカウントを乗っ取り、独自のセキュリティ機能によってユーザーを締め出すように設計されていました。
事件の経緯:
セキュリティ研究者が、悪質な Google Chrome 拡張機能を利用した攻撃キャンペーンを発見したと Fox New が報じました。この拡張機能は、知名度の高いビジネス・人材プラットフォームになりますしており、給与管理、福利、職場アクセスに使われる一般的なツールも含まれています。研究者が特定したのは複数の偽の拡張機能で、それが生産性ツールやセキュリティ ツールとして提供されていました。インストールされると、この拡張機能は明らかな警告を発することもなくバックグラウンドで静かに稼働します。Fox News によると、Google はこの拡張機能を Chrome Web Store から削除したと発表したとのことですが、一部はサードパーティーのダウンロード サイトにまだ出回っています。
詐欺の実際のしくみ:
直接パスワードを盗み出すのではなく、この拡張機能はアクティブなログイン セッションを取得します。ウェブサイトにログインすると、ユーザーをログインしたままの状態にする複数の小さいファイルがブラウザーに仕込まれます。攻撃者は、このファイルにアクセスすることで、パスワードがわからないままでもアカウントに入り込めるようになります。なかには、セキュリティ設定に干渉してさらに攻撃をしかける拡張機能もありました。被害者は、パスワードの変更、ログイン履歴の確認、アカウント設定の利用ができなくなります。そのため、侵入を検知するのがよけいに難しくなり、何か不具合が生じたときのリカバリはさらに困難になりました。
これが問題になる理由:
この種の攻撃は、アカウントが侵害されたときに人が頼る安全対策を無効にします。パスワードのリセットや二要素認証は、その機能を使えるときにこそ威力を発揮します。そうした機能を利用できなくすると、攻撃者はそれだけ長く制御を維持でき、抵抗を受けずにシステムの中を移動できるようになります。
注意すべき挙動:
インストールした覚えのないブラウザー拡張機能がある
人事、給与管理、社内業務へのアクセスなどの機能を謳うアドオンがある
アカウントのセキュリティ設定がなくなる、アクセスできなくなる
最近登録したわけではないアカウントにログインしている
安全性のクイック チェック:
少し時間を使って、お使いのブラウザーの拡張機能を確かめてください。見覚えがない、または不要な拡張機能、特に職場に関係するツールは削除しましょう。拡張機能はブラウザーの深いところまでアクセスするので、インストールするほかのソフトウェアと同じようにしっかり精査するのが当然です。
マカフィーがお届けする今週の安全に関するヒント
「役に立つ」と謳うツールは疑ってかかりましょう。ブラウザー拡張機能、業務用アドオン、生産性ツールなどはユーザーのアカウントの奥深くまでアクセスする可能性があります。本当に必要なものだけインストールし、心当たりのないものは削除してください。
通話やプロンプトには慎重に対応しましょう。身に覚えのないログイン要求や二要素認証の承認、「IT サポート」と称する連絡は、ソーシャル エンジニアリングの入り口になる典型的な手段です。自分から依頼したのでなければ、立ち止まって確認してください。
アプリとブラウザーの許可設定を確認してください。少し時間をとって、どのアプリと拡張機能が自分の位置情報、アカウント、データにアクセスできるかを確認します。ここで少しの変更を加えるだけで、リスクは大幅に減らすことができます。
まずログイン情報を保護しましょう。メールや業務関連のアカウントでは、使い回していない強力なパスワードを使い、二要素認証を設定します。ひとたびメール アドレスを取得すると、攻撃者は、ほぼどんなものもリセットできるようになります。マカフィーのパスワード マネージャーなら、すべてのアカウントを通じて重複しないパスワードを作成し、保存することができます。
報道があったら、それに続く詐欺があるものと考えましょう。侵害やポリシー変更がニュースになると、詐欺師はそれを利用したフィッシング メールを送ってくるものです。特に注目のニュースがあってから数日間、数週間は特に懐疑の姿勢を保つことで、後日の大きなトラブルを回避できます。
最新情報を入手する
フォローして、マカフィーに関する最新情報を取得して消費者やモバイルのセキュリティ脅威について理解しましょう
