情報セキュリティ
公開日:2018年10月31日
独立行政法人情報処理推進機構
セキュリティセンター
大学におけるウェブメールサービスを狙ったフィッシングメールに注意
ー フィッシングの基本の手口を知って、継続的な対策を ー
今年4月から6月にかけて、大学のウェブメールサービスを狙ったフィッシング被害が相次ぎました。同時期に、当機構へも数件届出がありました。7月、8月にも被害を確認しており、今後も引き続き注意が必要であると考えます。
被害のあった大学による公開情報、および当機構への届出内容をもとに、今回の手口と被害、および利用者とシステム管理者における対策について解説します。
フィッシングの手口は、主に次のような流れでした。
大学で利用しているウェブメールサービスのシステム管理者を装い、送信エラーやメールボックスがいっぱいであるなどと記載されたメールが、大学の学生や教職員あてに送られてきます。
当機構で確認した範囲では、被害にあった大学で利用されていたウェブメールサービスの種類は、複数ありました(Office365、Active!Mail、DeepMail、Gmailなど)。
メールに記載されているURLをクリックすると、ウェブメールサービスの正規のログインページを模した偽ログインページに誘導されます。そのページで利用者がIDとパスワードを入力してしまうと、それらが詐取されます。
当機構への届出情報では、偽ログインページは、ウェブメールサービスの英語版の標準デザインに酷似していた事例や、校章やロゴを使用した大学独自のデザインに模してある事例など、本物のログインページに似せて作られていました。
ID・パスワードを詐取されたことで、ウェブメールサービスのアカウントに不正ログインされ、その結果発生した被害には、次のような事例がありました。
本手口の対策は、一般的なフィッシング対策と同様、次のとおりです。
なお、フィッシングの手口・事例の詳細や、システム対応などの具体的な内容については、フィッシング対策協議会にて提供されているガイドライン(脚注1)を、参考にしてください。
フィッシングは、フィッシングメールが送られてくることから始まります。典型的なフィッシングの手口や、フィッシングメールの特徴といった基本を知ることで、多くの場合でフィッシングメールかどうか判断することが可能です。
なお、従来の方法では見分けられない事例が出現することも予想されますので、システム管理者からの注意喚起など、最新情報も継続的にチェックしてください。
メールのリンク機能は便利ですが、不審なサイトへの誘導にも使われます。そのため、メール内のリンクを安易にクリックしない習慣をつけてください。
昨今では、送信元や文面が本物らしく、とても巧妙で判別が難しい場合もあります。そのため、これまで届いたことのない内容のメールやリンクのクリックを誘う内容のメールなどが届いた際に、それが本物かどうか判断に迷った場合は、確かな情報源を使って確認することを推奨します。
メール本文に記載されている連絡先に連絡をしたり、届いたメールへ返信して問い合わせたりすることは、避けてください。
手口や対策を知っていても、誰もが・いつでも・すべてのメールを正しく見分けることは容易ではなく、以前より注意喚起を行っていたという大学でも被害が出ています。
そのため、利用者啓発のみならず、2段階認証の利用、不審サイトへのアクセスの遮断、フィッシング対策機能を持つセキュリティソフトの導入など、利用の目的や環境に応じたシステム的なセキュリティ対策の実施を検討してください。
誰しも、知らない危険を避けることは困難です。そのため、利用者啓発が必要です。
(脚注1)フィッシング対策協議会 ガイドライン一覧
IPAセキュリティセンター 情報セキュリティ安心相談窓口
URL
記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。
2018年10月31日
掲載