Kaspersky Lab、米英など16か国で大学の認証情報を狙ったフィッシング詐欺を検知

[本リリースは、2018年10月24日にKaspersky Labが発表したプレスリリースに基づき作成したものです]

Kaspersky Labの調査チームは、2017年9月から1年の間に、少なくとも16か国131の大学へのフィッシング詐欺を約1,000件検知しました。攻撃者の狙いは、教職員や学生の認証情報、IPアドレス、位置情報です。ほとんどのケースで、大学のデジタルシステムへのログインページと見分けがつかない偽Webページを表示し、ログインIDとパスワードの入力を要求します。

サイバー犯罪者にとって、銀行員の認証情報や企業の従業員のパスワードが貴重なのは明らかですが、大学の学生や教職員の個人アカウントも情報窃取の標的と見られています。それは、大学へのスピアフィッシングが成功すれば、非常に価値のある情報が手に入るからです。大学のデータベースには、経済から原子物理学に至るまで、さまざまなテーマに関する未公開かつ影響力の強い研究情報が保管されています。さらに、多くの大学は大手企業との共同研究を行っているため、サイバー犯罪組織は、大学が有する専門知識だけではなく、企業の機密情報が含まれるデータへもアクセスする可能性があります。

大学側がITセキュリティに細心の注意を払っていたとしても、攻撃者はシステムに侵入する方法を見つけるために、気の緩んでいるユーザーなど付け入る隙を狙っています。ほとんどの場合、サイバー犯罪組織は大学の偽サイトを作成していますが、サイトのアドレスが微妙に異なっています。巧妙なソーシャルエンジニアリングの手法が使用された場合、標的は簡単に罠に陥り、認証情報を入力し、フィッシング詐欺の実行犯に機密情報を送ってしまいます。

当社の調査チームは世界16か国131校で961件の攻撃を検知しました。標的対象は主に英語圏の大学で、83校は米国、21校は英国に拠点を置いています。サイバー犯罪組織が特に興味を示したのはワシントン大学で、同校への攻撃件数は111件でした。

Kaspersky Labのセキュリティリサーチャー、ナジェージダ・デミードワ（Nadezhda Demidova）は次のように述べています。「標的となった教育機関の数の多さは大きな懸念で、サイバー犯罪者の間で教育機関が大きく注目されているのは明らかです。大学側は、教職員や生徒の1人1人が標的となっており、不注意によって犯罪者に大学のシステムへのアクセスを許してしまう可能性を考慮の上、積極的に必要なセキュリティ対策をとる必要があります」

Kaspersky Labは、フィッシングから身を守るため、次のセキュリティ対策の実施を推奨します。

• 何かをクリックする前に、必ずリンクのアドレスや送信者の電子メールアドレスをチェックし、本物であるかどうかを確認してください。リンクを直接クリックせず、ブラウザーのアドレス行への入力を推奨します。Webサイトやメール送信者が本物なのか、安全かどうかがわからない場合には、絶対に認証情報を入力してはいけません。偽のページにログインIDとパスワードを入力してしまった場合は、直ちにパスワードを変更してください。
• 複数のWebサイトやサービスで同じパスワードの使い回しは控えてください。もし、その内1つでもパスワードを窃取されたら、すべてのアカウントが危険にさらされるからです。
• 何者かがシステムに侵入して本物のWebサイトを偽物で置き換えたり、Webトラフィックを傍受したりできないようにするため、常に安全な接続の使用を推奨します。強力な暗号化とパスワードを使った安全なWi-Fiだけを使用するか、VPNを適用して、通信を暗号化しましょう。
• 自分のデバイスを使用してWebにアクセスする場合は、たとえモバイルデバイスであっても、フィッシングサイトへのアクセス時に警告してくれるような堅牢なセキュリティソリューションの使用を推奨します。
• 企業や組織は、ログインIDやパスワードなどの機密データを第三者と絶対に共有しないこと、また知らない人から送られたリンクや怪しいメールに記載されたリンクをクリックしないことを従業員に徹底させてください。
• アンチフィッシングテクノロジーを使った、信頼性の高いエンドポイントセキュリティソリューション実装し、スパムやフィッシング詐欺を検知し、ブロックしましょう。

詳しくは、Securelistブログ「Phishing for knowledge」（英語）をご覧ください。