リンクをクリックする前に一呼吸しよう
フィッシング攻撃は、とにかく対象が引っかかるような手口が駆使されている。メールなら、すぐにアクセスしないといけないと思わせるように、危険性を強くアピールしたり、至急の対応をうながしたりする文面が使われる。誘導されるニセのページは、ロゴや文言なども公式を思わせるように作ってあることが多い。
そのため、あわてて行動すると、あっさりとだまされてしまう可能性がある。メールで送られてきたならメールアドレスは正規のものか、サイトにアクセスをうながされたのならウェブアドレスが正規のものであるかをしっかり確認するような、用心深さが必要になってくる。
不審なメールが来た場合、時間を置いてから再度メールなどを見直して、公式サイトの連絡先から問い合わせてみるのも有効といえる。不正なログインが疑われる場合は、パスワードを再設定したほうがよいだろう。セキュリティ ソフトウェアを使用し、デバイスや個人情報をフィッシング詐欺(およびマルウェア)の脅威から保護するのは基本だ。
ログインの際に、パスワードだけではなく、電話番号にショートメッセージ(SMS)などを送り、本人確認を実施する「2段階認証」も利用したい。パスワードが知られてしまったとしても、もう一段階の認証なしではログインできなくなるため、より強固なセキュリティとなる。
さまざまなネット上のサービスを利用する上で、アカウントの保護はとても重要だ。今回はMcAfee Blogから「YouTuberに注意喚起 :アカウントがハッキングされないために」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
YouTuberに注意喚起 :アカウントがハッキングされないために:McAfee Blog
YouTubeには世界中に2,300万人のコンテンツクリエイターがいることをご存じでしょうか。それらのビデオの達人の多くが、9月後半の週末にサイバーセキュリティの災難が起きていることに気づきました。Forbesによると、記者のCatalin Cimpanuaは、YouTubeコンテンツクリエーターを標的にした大規模なスピアフィッシングキャンペーンを発見し、ログイン資格情報をあきらめたそうです。
サイバー犯罪者は、どのように被害者のアカウントを襲ったのでしょうか。Cimpanuaは、ハッカーが大量のデータベースを利用して、YouTubeインフルエンサーのターゲットリストにメールを送信していることを発見しました。これらのメールには、被害者を偽のGoogleログインページに誘導するフィッシングリンクが含まれていました。YouTuberがログイン資格情報を入力すると、攻撃者は被害者のYouTubeアカウントへのフルアクセスを取得し、バニティURLを変更できるようになります。これにより、チャネルの実際の所有者とそのサブスクライバーには、アカウントが削除されたように見えます。さらに、ハッキングに成功したアカウントの一部は、SMSを介した2要素認証(2FA)を利用しており、サイバー犯罪者がリバースプロキシを使用していることを示唆しています。このタイプのプロキシサーバーは別のサーバーに代わってリソースを収集し、サイバー犯罪者がSMSを介してリアルタイムで送信される2FAコードを傍受できるようにします。
アカウントを安全に維持するために
このフィッシングスキームの対象には、主にさまざまなジャンル、特にテクノロジー、音楽、ゲーム、ディズニーをカバーするインフルエンサーが含まれていました。しかし、何百万ものコンテンツクリエーターがYouTubeをプラットフォームとして使用し、自分の洞察を世界と共有している昨今、ユーザーは自身の資格情報を保護するために適切なサイバーセキュリティの予防措置を行うことが重要です。アカウントの安全性を確保するために、以下のヒントを確認してください。
フィッシングメールに注意
会社または企業から資格情報の確認を求めるメールを受け取った場合、疑わしいと考えましょう。フィッシャーは多くの場合、正当な企業からのメッセージのように偽造して、ユーザーをだましてログインの詳細を入力させようとします。
クリックする前に考えて
特に不審なメールのリンクをクリックする前に、そのリンクにカーソルを合わせて、URLアドレスが正当なものかどうかを確認します。URLにつづりの間違い、文法上の誤り、または奇妙な文字が含まれている場合は、リンクをクリックすることを避けるのが最善です。
二要素認証アプリを使用
二要素認証は決して万能のセキュリティ戦術ではありませんが、ハッカーがアカウントをハイジャックしようとする場合、防御の第一線として有効です。この特定のスキームでは、サイバー犯罪者はSMSを介して2FAをバイパスし、セキュリティコードを傍受することができました。そのため、ユーザーはSMS経由で送信されたコードに頼るだけでなく、認証アプリのオプションを検討する必要があります。
そして、最新のサイバーセキュリティの脅威に注意を払うために、ニュースの報道やソーシャルメディア等で情報収集を心がけましょう。Twitter @McAfee_Home (US版)、@McAfee_JP_Sec(日本版)からも情報発信しています。
※本ページの内容は、2019年9月25日(US時間)更新の以下のMcAfee Blogの内容に一部日本の情報を追記しています。
原文:Attention YouTubers: Protect Your Account From Being Hacked
著者:Gary Davis
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト