Jamfは10月21日(米国時間)、「Phishing Trends Report 2021」において、フィッシング詐欺に関する調査結果を報告した。フィッシング詐欺はサイバー攻撃においてよく使われる手法の一つであり、多くのユーザーが被害を受けている。Jamfの報告は、フィッシング詐欺の主要な標的がこれまでよりもモバイルへ移行していることを示している。
「Phishing Trends Report 2021」における注目ポイントは次のとおり。
- フィッシング詐欺の被害に遭ったモバイルユーザーの数が前年度比で160%増となった
- 10人に1人がモバイルデバイスの使用中にフィッシング詐欺のリンクをクリックしている
- ユーザーが被害に遭ったフィッシング詐欺の2%でピュニコードが使われていた
2021年のフィッシング詐欺キャンペーンで使われたトップブランドとして次の項目が挙げられている。
- Apple
- PayPal
- Amazon
- Chase
- Netflix
- Microsoft
- Wells Fargo
身に覚えがないのに、いつのまにかクレジットカードが不正利用の被害を受けていたということがある。フィッシング詐欺の被害に遭って自分でクレジットカード情報を入力していることに原因があることも多いが、攻撃が巧妙でありユーザーは気がついていないことも多い。
PCではメールやメッセージに含まれているリンクなどを詳しく調べることができるが、モバイルデバイスではその操作が煩雑であり、多くの場合は確認が行われない。不審なHTTPSを調査することも操作が面倒なことが多い。Unicodeのピュニコードを利用された場合など、一見すると通常のドメイン名に見えるような表示まで行うことができ、ユーザーからフィッシング詐欺サイトであるかどうかの判断を行うのは難しい。
Jamfはこうしたフィッシング詐欺の被害を回避する方法として、次のようなアドバイスを示している。
- 怪しいリンクはクリックしない
- URLをよく確認する。疑わしい場合にはブラウザからユニコード対応のエディタにコピーし、ピュニコード攻撃ではないかよく確認する
- 大手ハイテクブランドを語ったメッセージには注意する。本物であるか注意深く確認する
- 知らないサービスや信頼できないサービスにはクレジットカード情報を入力しない
- リンク先が銀行のWebサイトになっている場合、別ウィンドウで銀行のサイトを開いてアクセスするか、公式のアプリからアクセスする
- 懸賞に当選したという明らかな詐欺には騙されないようにする
- アドレスバーにmy.apple.pay.comなどの疑わしいURLや模倣URLが使われていないか確認する
われわれはPCよりもモバイルデバイスを使う時間が増えている。モバイルデバイスはPCよりもフィッシング詐欺の確認作業が難しく、だまされやすい可能性がある。フィッシング詐欺は身近なサイバー攻撃であることを認識するとともに、常に注意深く行動することが望まれる。