[本リリースは、2018年10月24日にKaspersky Labが発表したプレスリリースに基づき作成したものです]
Kaspersky Labの調査チームは、2017年9月から1年の間に、少なくとも16か国131の大学へのフィッシング詐欺を約1,000件検知しました。攻撃者の狙いは、教職員や学生の認証情報、IPアドレス、位置情報です。ほとんどのケースで、大学のデジタルシステムへのログインページと見分けがつかない偽Webページを表示し、ログインIDとパスワードの入力を要求します。
サイバー犯罪者にとって、銀行員の認証情報や企業の従業員のパスワードが貴重なのは明らかですが、大学の学生や教職員の個人アカウントも情報窃取の標的と見られています。それは、大学へのスピアフィッシングが成功すれば、非常に価値のある情報が手に入るからです。大学のデータベースには、経済から原子物理学に至るまで、さまざまなテーマに関する未公開かつ影響力の強い研究情報が保管されています。さらに、多くの大学は大手企業との共同研究を行っているため、サイバー犯罪組織は、大学が有する専門知識だけではなく、企業の機密情報が含まれるデータへもアクセスする可能性があります。
大学側がITセキュリティに細心の注意を払っていたとしても、攻撃者はシステムに侵入する方法を見つけるために、気の緩んでいるユーザーなど付け入る隙を狙っています。ほとんどの場合、サイバー犯罪組織は大学の偽サイトを作成していますが、サイトのアドレスが微妙に異なっています。巧妙なソーシャルエンジニアリングの手法が使用された場合、標的は簡単に罠に陥り、認証情報を入力し、フィッシング詐欺の実行犯に機密情報を送ってしまいます。
当社の調査チームは世界16か国131校で961件の攻撃を検知しました。標的対象は主に英語圏の大学で、83校は米国、21校は英国に拠点を置いています。サイバー犯罪組織が特に興味を示したのはワシントン大学で、同校への攻撃件数は111件でした。
Kaspersky Labのセキュリティリサーチャー、ナジェージダ・デミードワ(Nadezhda Demidova)は次のように述べています。「標的となった教育機関の数の多さは大きな懸念で、サイバー犯罪者の間で教育機関が大きく注目されているのは明らかです。大学側は、教職員や生徒の1人1人が標的となっており、不注意によって犯罪者に大学のシステムへのアクセスを許してしまう可能性を考慮の上、積極的に必要なセキュリティ対策をとる必要があります」
Kaspersky Labは、フィッシングから身を守るため、次のセキュリティ対策の実施を推奨します。
詳しくは、Securelistブログ「Phishing for knowledge」(英語)をご覧ください。