LinkedInで大規模なハッキングキャンペーンが進行中 ユーザーは直ちに確認を
CyberintはLinkedInのアカウント窃取キャンペーンが進行中で多数のアカウントが影響を受けていると報告した。窃取されたアカウントは身代金要求や二次被害のリスクがある。
セキュリティ企業のCyberintは2023年8月14日(現地時間)、「LinkedIn」のアカウントを対象とした大規模なセキュリティハッキングキャンペーンが進行中で、多くのアカウント情報がすでに窃取されていると報じた。一部のユーザーは身代金を要求されたり、アカウントが削除されたりしている他、窃取された情報の二次被害も懸念されている。
LinkedInアカウントを奪われるとどうなる? リスクと対策を提言
Cyberintは分析したデータを基に、このキャンペーンによってすでにかなりの数のLinkedInアカウントが窃取されていると報告している。アカウントが窃取されたユーザーの中には、サイバー攻撃者によって身代金の支払いを要求されたり、アカウントが完全に削除されたりしている人もいる。
LinkedInのアカウントが窃取された場合、そのアカウントの情報を悪用した二次被害も懸念されている。脅威アクターは侵害したLinkedInアカウントを悪用し、上司や同僚のふりをしてサイバー攻撃を仕掛けてくる可能性がある。さらに、LinkedInユーザー間の会話を閲覧されることで情報が漏えいし、別のサイバー攻撃に使われるリスクもある。
CyberintはLinkedInアカウントを保護する方法として以下を推奨している。
- LinkedInアカウントにログインして継続的なアクセスを確認する。連絡先が本物であるかどうか確認する。すでにロックアウトされてしまっている場合にはLinkedInサポートに連絡する
- 受信ボックスにアカウントに電子メールが追加されたことを示す通知メールがLinkedInから届いているかどうかを確認する。もしこの操作をした記憶がないのに電子メールを受信した場合は重大な警告サインと考える。直ちにLinkedInアカウントにログインしてパスワードを変更し、追加したメールアドレスを連絡先の詳細から削除する
- LinkedInアカウントにユニークで強力なパスワードを設定する。他のアカウントで使っているパスワードを使い回さない
- LinkedInアカウントで二要素認証を有効化する
LinkedInアカウントが一時的にロックされている場合、すでに脅威アクターのアカウント窃取によりサイバー攻撃が実行された可能性がある。ただし、一時的にロックされている段階ではまだアカウントの窃取はできていない。この場合は直ちにアカウントを確認し、パスワードを変更することが推奨されている。なお、この事態についてLinkedInから公式の発表は出ていない。
関連記事
- Netflix、Disney+もいよいよ対策に本腰 「アカウント共有問題」について考える
動画配信サービスでしばしば問題に挙がる「アカウント共有問題」。今まで黙認されてきたこの行為ですが今後はNetflixやDisney+なども対策に本腰を入れるようです。セキュリティの観点からこの問題を考えてみます。 - 150万人がクラウドアカウント乗っ取り被害 MFAをバイパスするEvilProxyとは?
Proofpointによるとこの6カ月で大手企業のクラウドアカウント乗っ取り事件が100%以上急増して150万人が被害を受けたという。MFAがバイパスされるケースが増えており、その対策として幾つかの案が提案されている。 - SIMスワップで組織内部に侵入 Lapsus$の手口と攻撃を緩和する10の方法
CSRBは脅威アクター「Lapsus$」に関する調査報告書を公開した。Lapsus$はSIMスワップやフィッシングといった一般的な悪用技術を使って数々の有名企業に不正アクセスしている。この攻撃を緩和する10の方法とは。 - 多要素認証の導入、失敗する企業の特徴とは?
重要な情報へのアクセスを制限する際、IDとパスワードの組み合わせだけではセキュリティ強度が不十分だ。「多要素認証」を導入する必要がある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.