〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
– 4/4号 目次 –
01.不正なコマンドを実行させる偽CAPCHAの攻撃に注意喚起
02.「Have I Been Pwned」創設のセキュリティ専門家、フィッシングによりML乗っ取り、情報流出の被害
03. 関西万博、過剰な個人情報収集に批判…一部項目削除
不正なコマンドを実行させる偽CAPCHAの攻撃に注意喚起
– 3月13日(現地時間)、米Microsoft社(以下・MS)より、「ClickFix」と呼ばれる攻撃の活発化が確認されているとして注意喚起が出されています。
– ClickFixはいわゆる「ソーシャルエンジニアリング」攻撃の一種で、偽のエラーページ・CAPTCHA等を表示した上で「1) Win+Rを押す」「2) CTRL+Vを押す」「3) Enterを押す」といった手順をとるよう指示し、これによりPCのマルウェア感染等に誘導するとされています。
– ClickFixは2024年3月頃に存在が確認されており(例えば6月にはProofPoint社から注意喚起が出されています)、今回のMSからの注意喚起では、12月に旅行予約サイト「Booking .com」を騙るフィッシングサイトで用いられていた事例が取り上げられています。
https://www.itmedia.co.jp/news/articles/2503/26/news063.html
https://www.microsoft.com/en-us/security/blog/?p=137933
AUSからの所感
前述した手順は、1)でWindowsの「ファイル名を指定して実行」のウィンドウを開き、2)で事前にクリップボード内にコピーされた不正なコマンド(PowerShellスクリプト)をペーストし、3)でそのコマンドを実行させるという流れとなっていますが、さらに1)の前段で不正なコマンドを事前にクリップボードへコピーするため、何らかのボタンのクリックを指示したり、密かに何らかの動作を行うよう仕向けたりしている模様です。
このような、ユーザー側に過剰に協力を求める不審な手順への誘導に遭遇した場合は、それが攻撃手法の一つとして既に警告が出ていないか、ネット上で検索を行って確認すること、また常日頃からどんな攻撃手法が出回っているかの情報収集を行いつつ、ブラウザー・メーラー・アンチウイルスソフト・UTM等のセキュリティ機能により、不審なWebサイト・偽メールからの防御を図ることが肝要です。
「Have I Been Pwned」創設のセキュリティ専門家、フィッシングによりML乗っ取り、情報流出の被害
– 3月25日(現地時間)、流出メールアドレス・パスワードのチェックサービス「Have I Been Pwned」等で知られるセキュリティ専門家トロイ・ハント氏が、フィッシング攻撃を受け、メーリングリスト管理アカウントへ不正ログインされる被害を受けたとIT系ネットメディア「The Register」で報じられました。
– 同氏のブログでも経緯が報告されており、メール配信サービス「MailChimp」のアカウントが制限されたとするフィッシングメールから、誘導先のフィッシングサイトでログイン情報を入力したことにより、自身のメーリングリストに登録されたメールアドレス約16,000件等を奪取されたとしています。
– 同氏はパスワード管理ツールを使用していましたが、フィッシングサイトのため自動入力が動作しなかったにも拘らず、手動でアカウント情報の入力を行ってしまったとしています。
https://codebook.machinarecord.com/threatreport/37900/
https://www.theregister.com/2025/03/25/troy_hunt_mailchimp_phish/
https://www.troyhunt.com/a-sneaky-phish-just-grabbed-my-mailchimp-mailing-list/
AUSからの所感
「フィッシングサイトではパスワード管理ツールが自動入力を行わない」ことはフィッシング回避のための有効なセオリーとしてよく挙げられる一方、「アカウント情報を別のドメイン名のサイトで入力しなければならない」場面も少なからず存在します。
同氏はMailChimpの認証で採用されていたワンタイムパスワード(OTP)等の二要素認証(2FA)はフィッシングや中間者攻撃への耐性がない(フィッシングサイトに入力されたOTPが本物のサイトに中継される等の可能性あり)と指摘、それらの攻撃に耐性のあるとされる、ハードウェアキーやパスキー等による2FAを採用すべきとしています。
「著名なセキュリティ専門家ですらフィッシング攻撃に騙されてしまった」という今回の出来事が、単にセンセーショナルな話題のみで消化されるのではなく、いかにも見破りやすいものだけとは限らない、巧妙なフィッシングの存在への警戒や、フィッシング対策の観点からのパスキーの採用等が進む一助となるかに注目されるところです。
関西万博、過剰な個人情報収集に批判…一部項目削除
– 3月28日(日本時間)、2025年大阪・関西万博を運営する日本国際博覧会協会より、万博入場券のオンライン購入等に関連する個人情報保護方針の改訂が発表されました。
– 入場券のオンライン購入やパビリオン・イベント予約のための「万博ID」登録時に収集される個人情報として、当初含まれていた「指紋」「SNSのアカウント情報」「既婚・未婚」「子供の有無」「趣味嗜好」が除外されています。
– 収集される個人情報の種類が過剰であると批判を受けており、改訂により前述のものについては収集されないことになりました。
https://www.sankei.com/article/20250331-BBZVRA46BRLLJHRL3L56XS2S4A/
https://www.expo2025.or.jp/news/news-20250328-04-2/
AUSからの所感
個人情報提供先として当初「政府・地方自治体・外国政府」「SNS事業者・広告関係会社・データ分析事業者」が含まれていましたが、これらも除外されています。
来場者の識別のため「パスポート番号」「顔画像」「音声」等は引き続き収集するとしていますが、個人情報をはじめとした各種情報について収集すべき種類を精査し必要最低限の収集とすることは、万が一の不正アクセスで個人情報の大量流出が発生した場合の被害を抑えることを鑑みても重要と言えます。
