Webサイトへの社員情報掲載は最低限に、詐欺メールに悪用も――米機関が勧告

業界関連サイトに掲載された会議出席者の氏名、所属、肩書きといった情報が、特定の標的を狙い打ちにしたスピアフィッシング攻撃に悪用されたという。

[鈴木聖子，ITmedia]

　Webサイトに掲載された社員の氏名や肩書きといった情報が、特定の標的を狙い撃ちにしたスピアフィッシング攻撃に悪用されている実態が判明した。米国土安全保障省のセキュリティ機関ICS-CERTは、こうした情報の掲載を最小限にとどめるよう勧告している。

　ICS-CERTは2013年1〜3月の報告書の中で、2012年12月に発生したスピアフィッシング攻撃の事例を紹介した。この攻撃では、電力業界関連のWebサイトに掲載されていた情報が利用され、エネルギー業界の関係者を狙い撃ちにするスピアフィッシング攻撃が発生したという。

　問題のWebサイトには、ある会議に出席した関係者の氏名、メールアドレス、所属、肩書きなどの一覧が掲載されていた。攻撃者はこの情報を利用して、エネルギー業界の特定の個人にあてて詐欺メールを送信。新しい電子メールアドレスの連絡と称して、マルウェアを仕込んだサイトへのリンクや、不正な添付ファイルをクリックするよう仕向けていた。

　ICS-CERTが調べた結果、この手口では11の組織が標的にされていたことが判明した。ただし実際にマルウェアに感染したり、不正侵入されたりしたケースは確認されなかったという。

　それでもこうした情報を使えば攻撃者がもっともらしい内容の詐欺メールを仕立て上げることが可能であり、標的とされた個人がだまされて悪質なリンクや添付ファイルをクリックしてしまう確率も高くなるとICS-CERTは指摘。肩書き、メールアドレス、社内組織、プロジェクト名といった情報のWebサイトへの掲載は最小限にとどめ、他社のWebサイトにそうした情報が掲載されている場合は、管理者に連絡して削除を求めるよう勧告している。