年末商戦でサイバー犯罪も活発に! 買い物客と企業が知るべき対策とは?

文●フォーティネットジャパン 編集●ASCII

提供: フォーティネットジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「ホリデーシーズンの買い物客を狙う最新のサイバー攻撃」を再編集したものです。

 ホリデーシーズンが近づく中、世界中の買い物客がブラックフライデーやサイバーマンデー、その他のホリデーセールでお得な買い物をするチャンスを心待ちにしています。しかし、オンライン活動が活発になると、サイバー犯罪者を呼び寄せることにもなります。

 FortiGuard Labsの最新レポート「Understanding Threat Actor Readiness for the Upcoming Holiday Season(来たるホリデーシーズンに向けた脅威アクターの下準備)」では、今年の年末商戦を悪用するために攻撃者が開発した巧妙な戦術が報告されています。このブログでは、ダークネットに関する同レポートの主な調査結果と、買い物客や企業が今シーズンを安全に過ごすための実用的な対策を紹介します。

サイバー脅威の現状

 サイバー犯罪者にとってホリデーシーズンは、増加するオンライン取引に便乗できる絶好の機会です。ダークネットで入手可能なツールやサービスを利用することで、攻撃者はeコマースのプラットフォームや無防備な買い物客をこれまで以上に効率的に狙うことができます。今年はAIを使ったフィッシング詐欺、高機能なWebサイトクローンツール、リモートコード実行(RCE)エクスプロイトといった最先端の技術を活用し、ショッピングプラットフォームに不正アクセスしています。攻撃者は、AIを利用して説得力のあるEメールや公式Webサイトの複製を作成し、データを盗み取ったり、ユーザーを騙して機密情報を開示させたりすることができます。

 FortiGuard Labsのレポートは、休日にちなんだ名前を付けた詐欺目的のドメインの使用が増加していることも指摘しています。これらのドメインは信頼できる販売元を装い、魅力的だが実は不正な取引を提示して買い物客を引きつけようとします。スニッフィングツールもサイバー犯罪者の重要な武器であり、オンライン取引の進行中にクレジットカードなどの機密情報を傍受することができます。レポートの主な注目点は次の通りです。

・ショッピングに乗じたフィッシング詐欺が生成AIを使用している。レポートでは、サイバー犯罪者がChatGPTなどのAIモデルを使用して小売業者と銀行の正当な通信を偽装し、説得力のあるフィッシングメールを作成する事例が紹介されています。特に買い物客がピークに達する時期は、生成AIによって詐欺の実効性が高まります。

ChatGPTを使用したフィッシングメールの作成

・今年のホリデーシーズンはeコマースの脅威が猛威を振るう。脅威アクターは、オンラインショッピングのトレンドを悪用した活動を増やしています。今年のレポートによると、休日にちなんだドメイン名が何千件も登録されており、偽物の商品や宣伝で消費者を騙すために、AmazonやWalmartなどの信頼できるブランドを偽装しています。Adobe Commerce、Shopify、WooCommerceなどの有名なプラットフォームは、コンフィギュレーションの不備や旧式のプラグインなどが原因で格好の標的になっています。攻撃者は、顧客データを取得するためにスニファーを配信し、RCEエクスプロイトを使って管理者権限でショッピングプラットフォームにアクセスします。

偽のJ. Crewショッピングサイト

偽のJ. Crewサイトのフィッシングスコア

・収益性の高い多数のダークネットサービスがサイバー犯罪を助長している。FortiGuard Labsチームは、盗まれたギフトカード、クレジットカードのデータ、侵害されたeコマースサイトのデータベースの販売数が急増していることを確認しました。フィッシングキットを使用すると、攻撃者はサービスも含めた高度なフィッシング操作を設定することができます。これらのキットは、複雑さやカスタマイズ性に応じて100~1,000ドルで販売されています。それ以外にも、スニフィングやカスタムのブルートフォースツールなど手軽に入手できるサービスがあるため、スキルの低い攻撃者でも脆弱性を悪用することができます。

密売人の求人広告

・企業にとってのリスクが増大している。消費者と同じく企業も脆弱性を抱えており、偽のWebサイトを介したフィッシング詐欺や財務情報の窃取など、重大なリスクにさらされています。侵害された管理画面、パッチ未適用のソフトウェア、脆弱なクレデンシャルは、データ漏洩や不正取引、評判失墜などの原因となります。

ショッピングWebサイトに対するさまざまな脅威

今年のホリデーシーズンを安全に過ごすために

 上記のようなリスクを軽減するために、買い物客と企業はプロアクティブな対策を講じる必要があります。

 警戒心は買い物客にとって必要不可欠です。機密情報を入力する前にURLを入念に確認し、詐欺防止機能付きクレジットカードなどの安全な支払方法を利用します。セッションハイジャックの標的になる可能性があるため、公共のWi-Fiネットワークでは買い物をしないようにしましょう。お使いのアカウントで多要素認証を有効にしておくと、さらにセキュリティを強化できます。預金残高を定期的に確認し、不正な取引が行われていないか監視することも重要です。

 企業はサイバーセキュリティ態勢を優先する必要があります。eコマースのプラットフォームやプラグインを最新の状態に保ち、定期的な脆弱性スキャンを実施することで、リスクを大幅に軽減できます。最新式の詐欺防止ツールを導入すると、ブルートフォースログインや偽のトラフィックといった異常なアクティビティの識別に役立ちます。フィッシング攻撃をよく理解し、安全なショッピングを習慣づけるよう消費者を啓発することも重要です。ドメインの登録を監視し、なりすましの可能性があれば直ちに通報することで、自社のブランドを守ることができます。さらに、強力なパスワードで管理画面を保護し、アクセスを制限すれば違法侵入を防止できます。

すぐに行動しましょう

 ホリデーシーズンは、リスクや脆弱性とは無縁の楽しくてお祝い気分のひと時であるべきです。しかしそのためには、企業がサイバーセキュリティに対してプロアクティブな態勢を維持する一方、消費者は常に正しい情報を入手し、オンラインに潜む脅威を警戒する必要があります。

 FortiGuard Labsのレポート「Understanding Threat Actor Readiness for the Upcoming Holiday Season(来たるホリデーシーズンに向けた脅威アクターの下準備)では、進化を続ける今年の脅威情勢をより深く理解し、実行可能なインテリジェンスを入手することができます。ご自身、ビジネス、そしてお客様の安全確保に是非お役立てください。

■関連サイト

Fortinet トップへ