
二段階式フィッシングメールやClickFixに注意! 人間を狙うサイバー攻撃の進化
警視庁サイバー攻撃対策センターが報告した二段階式フィッシングメールや、ClickFixという巧妙なマルウェア感染手法について。人間の心理を狙ったサイバー攻撃の進化と対策について解説。

警視庁サイバー攻撃対策センターが報告した二段階式フィッシングメールや、ClickFixという巧妙なマルウェア感染手法について。人間の心理を狙ったサイバー攻撃の進化と対策について解説。

フィッシング対策協議会は、ISP情報漏えいの可能性を受け、認証情報を悪用したフィッシングメールに注意喚起。件名は「【重要】VISA力一ド ご利用制限のお知らせ」など。漏えい情報は売買され、パスワード変更や新アドレスへの移行を推奨。

LINEは、投票ページを装ったフィッシングサイトでLINEアカウントを乗っ取り、家族や友人になりすましてPayPayでの送金を求める詐欺が相次いでいると発表。アカウント乗っ取り後、不正操作を誘導し、金銭を要求する手口に注意を呼びかけている。

サイバー攻撃はAI悪用とAIサービス悪用へシフト。多要素認証を突破する「デバイスコード・フィッシング」がMicrosoftから警告。従来の対策が通用しなくなりつつある脅威への対応策を解説。

警視庁は、2段階に分けて受信者を騙す新たなフィッシングメールの手口「二段階式フィッシングメール」に注意を呼び掛けている。1通目で不審なメールを送り、警戒した受信者に対し、2通目で注意喚起を装って偽サイトへ誘導する。

Google has filed a civil lawsuit against a China-based cybercrime group called Outsider Enterprise for allegedly using its AI, Gemini, to mass-produce phishing sites. The group is accused of defrauding numerous victims, primarily in the US, of financial information. This marks Google's first lawsuit over the misuse of Gemini.

AIブームを悪用したサイバー攻撃が急増。ChatGPT PlusやClaudeを騙るフィッシング、架空AIプラグインによるマルウェア配布、GitHub偽リポジトリでの拡散など手口は多様化。Microsoftは多要素認証や自動攻撃遮断などを推奨。

Varonisの検証によると、ローカルAIエージェントはフィッシング詐欺に引っかかる可能性があり、機密情報を共有してしまうケースも確認された。特に、緊急事態の解決を優先する傾向や、社会的記憶・組織的直感の欠如が弱点として指摘されている。

日本サイバー犯罪対策センター(JC3)は、ボイスフィッシングによる法人口座を狙った不正送金被害の新手口について注意喚起。企業のネットバンキング情報を盗み、遠隔操作ソフトをインストールさせる手口が見られ、防止策を発表。

中小企業を対象とした調査で、サイバーセキュリティ事故経験率が45%に達し、特にドイツで高かった。AI活用への関心は高いものの、実際の事故原因はフィッシングや脆弱な認証情報など。AIツールは生産性向上に寄与する一方、シャドーAIの管理が課題となっている。

AI is escalating cyberattacks in scale, speed, and sophistication. Experts urge companies to proactively find and patch vulnerabilities before attackers do, and to build secure code from development. A new JNSA report, "AI Security Basics for CISOs," addresses these risks, including information leaks and IT controls, and offers guidance for businesses of all sizes.

攻撃者はQRコードをアスキーアート化し、DocuSign経由で機密文書共有を装いフィッシング詐欺を行う。画像ファイルではなく文字列で構成され、検知を回避する手口が確認された。Kasperskyはセキュアメールゲートウェイ導入と従業員教育を推奨。