データ漏えいより危険なフィッシング詐欺

 
Googleはカリフォルニア大学バークリー校と共同で行った認証情報漏えいの危険性調査結果を発表しました。
 
調査によると、アカウントを乗っ取られるリスクを、任意のGoogleユーザーと比較して調べたところ、フィッシングの被害者は400倍も高かったのに対し、データ漏えいの被害者は10倍程度という結果でした。そしてこれは「フィッシングキット」が収集する情報の種類によって生じる差としています。
 
このフィッシングキットは、被害者の位置情報や秘密の質問、電話番号といった、ユーザーのログイン時にGoogleがリスク評価で利用するのと同じ詳細情報を入手するため、アカウントの乗っ取りに成功する確率が高くなります。そして、フィッシングキットの約72％は、Gmailアカウントを利用し、入手した認証情報を攻撃者に送っていたといいます。
 
一度ログイン情報が流れ乗っ取り被害に遭うと、同様のログイン情報を使った他サービスへの2次被害に発展する恐れもあります。ましてフィッシング詐欺では位置情報や秘密の質問であったりと付随する情報すべてが流出してしまいます。
 
また、いくらデータだけを厳重に管理していても、担当者個人がフィッシング詐欺と気づかず情報を入力してしまう場合もあるかもしれません。そういう意味で一部のデータ漏えいよりも危険リスクは高いといえるでしょう。
 
『「フィッシングはデータ漏えいより危険」–グーグル調査』
（出典：2017年11月13日　CNETJAPAN記事より）
 

フィッシング詐欺メールへの対応策は？

 
結局のところ犯罪者にとってはその情報がお金になるか否かです。そしてフィッシングで得られる情報とそれにかかる手間やコストが見合わなければ犯罪者もそこまでのリスクを犯すことはないでしょう。そのためにも、複合的な防御策を立てれば立てるほど、攻撃対象となるリスクは減るはずです。
 
そうしたなか、ついに詐欺メールに対峙するAIが誕生したと発表されました。ニュージーランドに拠点を置きオンラインの安全性に取り組んでいるNetsafeは、電子メール詐欺問題への新たなアプローチとなる人工知能（AI）電子メールボットを開発しました。今回開発された「Re:scam」ボットは、迷惑メールの送信者や電子メールを利用する犯罪者に時間を浪費させることで、フィッシング詐欺に対処するというものです。
 
詐欺目的の電子メールを受信したユーザーがそのメールをRe:scam（「me@rescam.org」）に転送すると、Re:scamがその詐欺師との会話を開始します。犯罪者はメールのやりとりを数回行わないと、相手が人間でないことに気づかないとのこと。これにより、フィッシング被害者の数を効果的に減らすことが可能だといいます。
 
『詐欺メールと会話して犯人の時間を奪うAIメールボット「Re:scam」が登場』
（出典：2017年11月13日　CNETJAPAN記事より）
 
犯罪者は常に巧妙かつ様々な脆弱性を突いた攻撃を仕掛けてきます。AIボットはあくまでも一例に過ぎませんが、一番の対応策はネットワークやPC上のセキュリティ強化を複合的に施すのはもちろんのこと、フィッシングの事例や傾向をいち早く知り、組織内で周知徹底することが重要といえるでしょう。
 

＞＞ シーティーエスは社内PCやネットワークのセキュリティ対策もしっかりサポートいたします

 
＊＊＊＊＊＊＊＊＊