術的な脆弱性ではなく「人の信頼」を起点とする
企業の従業員に電話をかけ、ITサポート担当になりすましてログイン情報を聞き出したり、偽のツールをインストールさせたりする、いわゆる「ボイスフィッシング(vishing)」を悪用したサイバー攻撃をご存知だろうか。
電話で従業員に接触し、認証情報を直接聞き出すだけでなく、サードパーティーのリモートツールを装った不正アプリの導入を促すことで、継続的にアカウントへアクセスする環境を構築しているという手段もあるという。
こうして得たログイン情報や不正ツールを通じ、攻撃者はターゲット企業の内部システムに入り込み、アカウントの乗っ取りや情報窃取を行う。
最近では、アメリカの顧客関係管理ソフトの大手であるセールスフォースのクラウド環境を利用していた複数の企業から顧客データが流出したという事件が発生した。このケースでも、攻撃者たちは関連企業のアクセス権限を不正に入手し、そこからSalesforce環境の一部に“正規ルート”で侵入したという。
この種の攻撃は、技術的な脆弱性ではなく「人の信頼」を起点とするため、従来のセキュリティ対策だけでは防ぎきれないのが特徴だ。
攻撃者は企業の役職体系や業務フロー、ITサポート体制などを事前に調べ、本物らしく見せかけるための情報を蓄積してアプローチしてくることが多い。電話でのやりとりは痕跡が残りにくいため、被害の把握や調査が遅れるという問題もある。
企業としての対策としては、まずITサポートからの依頼が本物かどうか、従業員が自力で確認できる手順を用意すること。許可されていないアプリケーションのインストールを原則禁止するなど、リモートツールの導入プロセスを厳格化することも考えられる。
個人情報の流出は他人事だと思わない
企業がサイバー攻撃を受け、氏名・住所・電話番号・メールアドレスなどの個人情報が流出してしまう事件は後を絶たない。こうした情報は、攻撃者にとって“名簿”として悪用されやすく、標的型詐欺やフィッシングの材料に利用される可能性が高い。
多くの個人情報を持っている企業や組織は、サイバー犯罪の被害に遭ったときの被害も大きい。個人情報の流出は他人事だと思わず、一般ユーザーの観点からも、警戒しておくようにしたい。
もし自分の情報が漏洩した疑いがある、あるいは該当企業から通知が届いた場合、何をすべきなのか。
情報流出後は、自分の名前や住所を正しく言ってくる詐欺が急増する可能性がある。メールやSMS内のリンクは安易に開かず、公式サイト・公式アプリから自分でアクセスして確認することが重要になる。電話も同様で、折り返す場合は必ず公式番号を自分で調べてかけ直す。
漏洩した情報にメールアドレスや電話番号が含まれていた場合、攻撃者はそれを使ってパスワード総当たりを試す「リスト型攻撃」を仕掛けてくる可能性がある。複数のサービスで同じパスワードを使っているなら、早急に変更する必要がある。
漏洩した情報に金融関連の情報が含まれていた場合、不正利用のリスクは一気に高まる。不審な動きがあればすぐにカード会社や銀行に連絡し、利用停止や再発行を依頼したい
また、攻撃者は流出情報をもとに「本物そっくりの偽サイト」へ誘導しようとする。「メールやSMSのリンクを押さない」「正規URLをブックマークして、そこからログインする」といったことを徹底するだけでも被害を防げる。
情報漏洩の被害を受けたあと、一般ユーザーができることは「防御を固める」ことだ。流出した個人情報が攻撃者の手に渡ると、フィッシング詐欺などに悪用される確率は高くなるが、適切な対策を取ることで被害を防ぐことは可能だ。
今回は、McAfee Blogから「ハッカーが従業員を騙すことによる大手企業のセールスフォースデータの流出 – あなたの安全を確認しましょう」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
ハッカーが従業員を騙すことによる大手企業のセールスフォースデータの流出 –
あなたの安全を確認しましょう:McAfee Blog
サイバー犯罪者は、世界的な大手企業の従業員を騙してセールスフォースへのアクセス権を引き出し、そのアクセス権を利用して数百万件の顧客記録を盗んでいます。 以下は、マカフィーがまとめた今回の出来事の概要、漏洩した情報の内容、そしてデータと個人情報を安全に保つために知っておくべきポイントです:
何が起こったか
ハッカーたちは、adidas、シスコ、ディズニー、Google、IKEA、Pandora、トヨタ、ベトナム航空といった有名企業を含む複数の大手企業から顧客データを盗んだと主張しています。 Security Week誌 は2025年を通じて、プラットフォームではなく人間の脆弱性を悪用するソーシャル エンジニアリング攻撃の波について報じてきました。 The Wall Street Journal によると、ハッカーたちはすでにカンタス航空の顧客記録数百万件を公開しており、次に他社の情報を暴露すると恐れが示されています。 データには、 氏名、メールアドレス、電話番号、生年月日、および ロイヤルティプログラムの詳細が含まれていると報じられています。財務データは含まれていないようですが、この種の個人情報はフィッシングや詐欺活動で悪用される可能性があります。 セールスフォースは複数の勧告を発表し、これらの攻撃は同社のインフラストラクチャへの侵害ではなく、認証情報の窃取と悪意のある接続アプリに起因するものであると強調しています。 残念ながら、このような事件は珍しくなく、特定のプラットフォームや業界に限ったことではありません。 ハッカーがソーシャル エンジニアリングや不正操作に頼って安全なシステムを突破する場合、最も洗練された企業でさえ被害に遭う可能性があります。
ハッカーの手口
ハッカーらは、ITサポート スタッフを装って各企業の従業員に電話をかけ (いわゆる 「ボイス フィッシング」の手口) 、ログイン認証情報を共有させたり偽のサードパーティ ツールを接続させたりして、実質的に犯罪者にアカウントへのアクセス権を渡し続けたと報じられています。侵入後、ハッカーは顧客データベースにアクセスし、そこに保存されている情報を盗み出したのです。 鍵を壊して侵入する泥棒というより、むしろ誰かがだまされてドアを開けてしまうようなものだとお考えください。
漏洩したデータ
これまで、下記を含むデータが漏洩したと見られています:
・氏名とメールアドレス
・電話番号
・生年月日
・自宅または郵送先住所
・ロイヤルティまたはマイレージ プログラム番号
確認された漏洩データには クレジットカードや銀行口座の情報は含まれていませんが、安全だとは限りません。
あなたにとって重要な理由
たとえ財務情報がデータ侵害で流出していなくても、名前や住所などの個人情報は標的型詐欺やフィッシングに悪用される可能性があります。その情報が盗まれオンラインで売買されると、詐欺師は次のように利用します:
・あなたに関する実際の詳細を引用した、現実味のあるフィッシング メールやテキストの送信。
・パスワードを再利用している場合、他のアカウントへのログインの試行。
・信頼できるブランドを装った「返金」や「アカウント確認」を装った詐欺を実行。
たとえあなたのデータがこの特定の漏洩事件に含まれていなくても、こうした攻撃は、あなたの情報が制御できない第三者のシステムをどれほど頻繁に移動しているかを浮き彫りにしています。
影響を受けているかを知る方法
・メールを確認する: 該当企業の会員または顧客である場合、正式な通知をご確認ください。
・信頼できる情報漏洩確認サイトを活用する: Have I Been Pwned にアクセスするか、マカフィー アカウントにサインインして、ご自身のメールアドレスに紐づいた最近の漏洩情報をご確認ください。 マカフィー アンチウイルス ソフトの無料トライアルに登録して、デバイスを保護することもできます。
・「ダークウェブ検索」サービスは避けましょう: その一部は詐欺そのものです。信頼できる情報源に頼りましょう。
今出来ること
1) 今日パスワードを変更する。各アカウントにユニークで強いパスワードを使う。パスワード マネージャーをご利用いただけます。 こちらからランダムパスワード生成ツールをお試しください。 2) 2 要素認証 (2FA) を有効にする。たとえハッカーがパスワードを入手したとしても、あなたのコードなしでは侵入できなくなります。 3) 金融口座やポイント プログラムの口座を監視する。不審な請求、解約、または要求していないパスワード再設定メールに注意してください。 4) クレジットを凍結する。無料で、あなたの名義での新規口座開設を防ぎます。いつでも解除することができます。マカフィーユーザーは、さらなる保護として「セキュリティ凍結」を利用できます 。 5)「情報漏洩」を装ったメールや電話に特に注意する。詐欺師はよく被害を受けた企業を装い「アカウントの安全確保のお手伝い」と称して近づいてきます。リンクをクリックしたり、電話で情報を提供したりしないでください。職場で情報漏洩が発生した場合は、直ちに会社のウェブサイトやアプリ、または自社のITチームに連絡してください。 6) ID保護を検討する。マカフィーの組み込み型 ID モニタリング機能は、ダーク ウェブ上で個人情報を監視し、データ漏洩が発生した場合にアラートを送信します。さらに、ID 回復費用として最大 100 万ドルの補償が含まれます。
次に予想される詐欺の手口
・虚偽の返金または補償の申し出。 「お客様のアカウントに影響が生じていることを確認しました。こちらから返金を請求してください。」クリックしないでください。
・ロイヤルティポイントによるフィッシング。航空会社や小売業者を装い「特典を保護する」ためにログインするよう求めるメールです。
・MFA疲労詐欺。攻撃者はログインコードを繰り返し送信して相手を疲れさせ、その後サポートを装って電話をかけ、そのコードを声に出して読むよう要求します。要求に応じないでください。
継続的な保護が必要ですか?
あなたのデータはすでに流出している可能性がありますが、放置したままでいる必要はありません。 マカフィーは、制御を取り戻すお手伝いをします。高度な人工知能を活用し マカフィーの詐欺検知テキスト、メール、動画にわたる詐欺を自動的に検知し、危険なリンクをブロックし、ディープフェイクを特定することで、被害が発生する前に阻止します。 そして、マカフィーのパーソナルデータクリーンアップは、どのデータブローカーがあなたの個人情報を保有しているかを確認し、あなたに代わってその削除を要求するのに役立ちます。 詐欺師に先回りしましょう。情報流出を確認し、データを整理し、個人情報を保護する。すべてマカフィーで実現します。 マカフィーとマカフィー 詐欺検知について詳しく見る
さらに読む。
データ侵害に巻き込まれた場合の対処法インターネットから自分自身を削除する方法フィッシングメールや詐欺を見抜く方法
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
