検索
ニュース

「PayPalユーザー」を狙う巧妙なフィッシングメールにご注意ESETが手口と対策方法を解説

PayPalユーザーを狙う新手のフィッシング詐欺が報告されている。セキュリティ企業のESETが公式ブログでその手口と対策方法を解説した。

Share
Tweet
LINE
Hatena

 PayPalユーザーを狙う新手の巧妙なフィッシング詐欺が報告されている。スロバキアのセキュリティ企業 ESETの研究者が2017年1月27日(現地時間)、その手口と対策方法を解説した記事を同社の公式ブログで公開した。以下、ブログ記事を抄訳する。

PayPalユーザーを狙う新手の巧妙なフィッシング詐欺の手口

 このフィッシング詐欺では、最初にロゴや文言が一見本物のような電子メールが届く。

 しかし、文法や構文にミスが多く、送信者はネイティブスピーカーではないと推測される。詐欺が疑われる証拠の1つだ。

photo 一見すると本物のようなメールが届く(出典:ESET)

 メール受信者が「Log in」リンクをクリックすると、

photo

 の短縮URLサービスを経由して、

photo

 のURLのアドレスランディングページに誘導される。

 このページでは、もっともらしい偽のログイン画面が表示され、真正性を示すSSL証明書まで用意されている。

 しかし上記のように、ランディングページのドメインはPayPalとは無関係である。他のフィッシング詐欺でもそうだが、詐欺師は一般的に、動的に生成された多数のドメイン名を使う(本物のドメイン名と“若干”違うだけの場合もある)。これも詐欺サイトとされる分かりやすい証拠になる。

 この偽ログイン画面に情報を入力すると、偽メールの文面とつじつまを合わせた偽情報を含むメッセージが表示される。

photo 情報を入力すると、偽メールの文面とつじつまを合わせた偽情報を含むメッセージが表示される(出典:ESET)

 このメッセージは、差し迫った印象を与え、不安を駆り立てる手口で、さらなる情報の入力を促している。ここで「Continue」リンクをクリックすると、以下のページが開き、重要な個人情報の入力を求められる。これが詐欺師の目当てとする情報だ。

photo 不安を駆り立て、重要な個人情報の入力を求める(出典:ESET)

 この画面では、米国でのみ有効な社会保障番号(Social Security Number)の入力を促しているが、併せて居住国も質問している。また、「この画面で要請している情報を提供するまで、PayPalと連絡できない」と伝えることで、引き続き切迫感を演出している。

対策方法

 もしPayPalのセキュリティが心配ならば、「PayPal.comに直接ログイン」して、自分のセキュリティ設定を更新することが必要である。また、こうしたフィッシングメールを受けて個人情報を提供してしまった場合にまずすべきことは、被害の拡大を避けるために早急にPayPalのパスワードを変更することだ。

 なお、サイバー犯罪者はフィッシングサイトを「本物そっくりにする」ことに労力を注いでいる。仮にPayPalユーザーではないとしても、別のサービスでも起こり得ることであることを念頭に置いてほしい。

 こうしたフィッシング詐欺に対する自衛策は以下の通り。

  • 「問題が発生している」として、WebサイトURLのクリックや添付ファイルのオープンを求めるメールがPayPalなどから送られてきた場合は、その要求に応じるのではなく、対象企業/サービスのサイトに「直接」ログインするようにする
  • Webサイトの閲覧中にPayPalなどのサイトにアクセスしようとしてアラートを受けた場合は、アドレスバーのURLが正規のものかどうか(今回では、http://www.paypal.com/やhttps://www.paypal.com/から始まるかどうか)などを確認する。
  • ユーザーが1つのパスワードを複数のサイトやサービスで使い回しているとフィッシング詐欺の問題がさらに深刻化する。このためにWebサイト/サービスを展開する企業は、ユーザーのためにも「2要素認証の導入」を考える

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  2. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  3. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  4. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  7. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  8. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  9. 堅調なID管理や認証、脅威インテリジェンスなどを抑え、2024年上半期で最も成長したセキュリティ分野は?
  10. NIST、3つのポスト量子暗号(PQC)標準(FIPS 203〜205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
ページトップに戻る