フィッシング

2025.06.28

フランス CNIL オンラインにおける個人情報およびプライバシーの保護に関する意識向上のための「マンガ」を発行 (2025.06.12)

こんにちは、丸山満彦です。

フランスの個人データ保護機関であるCNILが、オンラインにおける個人情報およびプライバシーの保護に関する意識向上のための「マンガ」を発行していますね...

主に11歳から15歳を対象としているようで、読んでもらいやすいように「マンガ」にしたそうです。「マンガ」「manga」はすっかり国際語になりましたね...

ハッキング、サイバーいじめ、個人情報の盗用など、若者たちに関するデジタルリスクを扱っているようです...

2025年に第1巻、その後、2026年、2027年に第2巻、第3巻と発行していく予定のようですね...

英語版も作っていくようです...

 

CNIL.

・2025.06.12 La CNIL publie un « manga » pour sensibiliser à la protection des données personnelles et à la vie privée en ligne

 

La CNIL publie un « manga » pour sensibiliser à la protection des données personnelles et à la vie privée en ligne CNILは、個人データの保護とオンラインプライバシーに関する意識向上を目的とした「マンガ」を発行
Comment parler de données personnelles avec les adolescents ? Avec L’Agence Privacy, inspirée des codes du manga, la CNIL aborde sans détour les risques numériques qui concernent les jeunes : piratage, cyberharcèlement, usurpation d’identité… Un format immersif et pédagogique pour susciter la discussion autour de la vie privée en ligne. 10代の若者たちと個人データについてどう話せばいいか?マンガのコードを参考にした「L’Agence Privacy」を通じて、CNILは、ハッキング、サイバーいじめ、個人情報の盗用など、若者たちに関するデジタルリスクを率直に扱っている。オンラインのプライバシーについて議論を喚起する、没入型で教育的なフォーマットだ。
Un format original et accessible, plébiscité chez les 11-15 ans 11~15 歳の若者に人気の、独創的で親しみやすい形式
Le numérique est omniprésent dans la vie des jeunes (réseaux sociaux, applications, jeux vidéo, etc.) et la bande dessinée occupe une place importante dans le développement de la lecture chez les adolescents (source : étude 2023 Junior City et syndicat national de l’édition). C’est donc naturellement que la CNIL a choisi ce format attractif pour sensibiliser les 11-15 ans aux enjeux et risques liés à leurs usages. デジタルは、若者の生活(ソーシャルネットワーク、アプリ、ビデオゲームなど)に浸透しており、漫画は青少年の読書の育成に重要な役割を果たしている(出典:2023 ジュニアシティおよび全国出版組合の調査)。そのため、CNILは11~15歳を対象に、デジタル技術の活用に伴う課題やリスクについて意識を高めるため、この魅力的な形式を採用した。
Alliant intrigue, humour et pédagogie, ce premier tome intitulé Le réseau fantôme suit les aventures de deux enquêteurs de l’Agence Privacy, Inaya et Isidore. Ils vont chercher à comprendre pourquoi les noms de trois lycéens, victimes de mésaventures en ligne et mis au ban de leur classe, se retrouvent sur une liste trouvée dans un local volontairement incendié… この第1巻『Le réseau fantôme(幽霊のネットワーク)』は、ストーリー、ユーモア、教育性を兼ね備え、プライバシー庁の2人の調査員、イナヤとイジドールが、オンラインでの不運な出来事でクラスの仲間から排除された3人の高校生の名前が、故意に放火された建物で見つかったリストに載っている理由を探る冒険を描いている。
Pour produire cet ouvrage, la CNIL s’est appuyée sur les talents combinés de Faouzi Boughida, scénariste de jeux vidéo, et Grelin, illustrateur et auteur de BD. この作品の制作には、ビデオゲームシナリオライターのファウジ・ブギダと、イラストレーター兼漫画家のグレランの才能が結集されている。
Il aborde des sujets concrets : piratage et usurpation d’identité, cyberharcèlement, e-réputation, ou encore cybersécurité. Le tout à travers un récit à rebondissements, des dessins dynamiques et des personnages attachants. この作品は、ハッキングや個人情報の盗用、ネットいじめ、ネット上の評判、サイバーセキュリティなど、具体的なテーマを取り上げている。そのすべては、紆余曲折に満ちたストーリー、ダイナミックな絵、そして愛すべきキャラクターたちを通して描かれている。
Une version anglaise du tome 1 sera publiée prochainement. Deux autres tomes sont prévus aux printemps 2026 et 2027. 第 1 巻の英語版も間もなく発行される予定だ。第 2 巻と第 3 巻は 2026 年と 2027 年の春に発行予定である。
Découvrir le tome 1 – Le réseau fantôme 第 1 巻「Le réseau fantôme(幽霊のネットワーク)」を見る
Le réseau fantôme - Chapitre 1 幽霊のネットワーク - 第 1 章
Le réseau fantôme - Chapitre 2 幽霊のネットワーク - 第 2 章
Le réseau fantôme - Chapitre 3 幽霊のネットワーク - 第 3 章
Le réseau fantôme - Chapitre 4 幽霊のネットワーク - 第 4 章
Un outil pédagogique pour les acteurs de l’éducation au numérique デジタル教育に携わる人々向けの教育ツール
Les 3 tomes de L’Agence Privacy viennent compléter les nombreuses ressources produites par la CNIL dans le cadre de sa mission de sensibilisation et constituent une des actions menées au titre de l’axe « Protéger les mineurs et leurs données dans l’univers numérique » de son plan stratégique 2025-2028. 『L’Agence Privacy』の3巻は、CNILが啓発活動の一環として制作した数多くの資料を補完するものであり、2025年から2028年までの戦略計画「デジタル世界における未成年者とそのデータの保護」の一環として実施されている取り組みのひとつだ。
Disponible gratuitement en ligne sur le site de la CNIL, la version papier du premier tome de L’Agence Privacy sera diffusée à tous les collèges de France, mais aussi auprès du réseau de partenaires institutionnels de la CNIL, ainsi qu’à certaines bibliothèques municipales partenaires. CNIL のウェブサイトから無料でダウンロードできる『L’Agence Privacy』第 1 巻の紙版は、フランスの全中学校、CNIL の機関パートナーネットワーク、および一部の提携公共図書館に配布される。
Outil de médiation, le « manga » sera également distribué lors d’actions de sensibilisation réalisées dans les établissements scolaires et lors d’événements auxquels la CNIL participe. 調停ツールとしての「マンガ」は、学校での啓発活動やCNILが参加するイベントでも配布される。
Vous êtes un acteur de l’éducation au numérique et souhaitez obtenir gratuitement un exemplaire en format papier ? デジタル教育に携わる方で、紙媒体の無料コピーをご希望の方は、CNILの広報サービスまでお問い合わせください。
Vous pouvez en faire la demande auprès du Service de sensibilisation du public de la CNIL : [mail] お問い合わせは、CNILの広報サービスまで: [mail]
Dans la limite des stocks disponibles. 在庫限りでお渡しする。
Document reference 参考資料
À télécharger ダウンロード
L'agence Privacy : Le réseau fantôme - Chapitre 1 プライバシー機関:幽霊のネットワーク - 第 1 章
L'agence Privacy : Le réseau fantôme - Chapitre 2 プライバシー機関:幽霊のネットワーク - 第 2 章
L'agence Privacy : Le réseau fantôme - Chapitre 3 プライバシー機関:幽霊のネットワーク - 第 3 章
L'agence Privacy : Le réseau fantôme - Chapitre 4 プライバシー機関:幽霊のネットワーク - 第 4 章
Les ressources リソース
Tous ensemble, prudence sur Internet ! Les ressources pour les 11 - 15 ans みんなで一緒に、インターネットを安全に利用しよう!11~15歳向けのリソース

 

20250626-43553

[PDF] (Chapitre 1) (Chapitre 2) (Chapitre 3) (Chapitre 4)

 

 


日本の個人情報保護委員会はさらに進んでいて、YouTubeのアニメにしていますよね...豊富にそろっているので是非..

 

個人情報保護委員会

個人情報保護委員会チャンネル

 

 

 

| | Comments (0)

2025.06.05

米国 FBI 政府高官になりすましたメールや電話に対する警告 (2025.05.15)

こんにちは、丸山満彦です。

FBIとインターネット犯罪苦情センター(IC3)(www.ic3.gov)が、米国 FBI 政府高官になりすましたメールや電話に対する警告を公表しています。

日本政府等においても、職員をかたる電話やメールによる詐欺行為が問題となっていますので、世界的に同じようなことが起こっているのだろうと思います。成功率が高いのですかね...

日本でも、内閣府、総務省、財務省、金融庁、厚生労働省等の職員を語った電話やメール、ショートメッセージがあることから警告をだしています。ただ、対処方法等についても併せて発表していおくのがよいのだろうと思います。その点、FBIの警告を見習うことは重要なことかもしれませんね。。。

 

Internet Crime Complaint Center; IC3

・2025.05.15 Senior US Officials Impersonated in Malicious Messaging Campaign

Alert Number: I-051525-PSA

20250605-54719

 

Senior US Officials Impersonated in Malicious Messaging Campaign 悪質メッセージキャンペーンで米国高官がなりすまされる
FBI is issuing this announcement to warn and provide mitigation tips to the public about an ongoing malicious text and voice messaging campaign. Since April 2025, malicious actors have impersonated senior US officials to target individuals, many of whom are current or former senior US federal or state government officials and their contacts. If you receive a message claiming to be from a senior US official, do not assume it is authentic. FBI は、現在進行中の悪質なテキストメッセージおよび音声メッセージのキャンペーンについて警告し、緩和のヒントを提供するため、この発表を行う。2025年4月以降、悪意ある行為者が米国の高官になりすまして個人を標的としており、その多くは米国の連邦政府または州政府の現職または元高官とその関係者である。米国の高官を名乗るメッセージを受け取った場合、それが認証されたものだと思わないこと。
Specific Campaign Details 具体的なキャンペーンの詳細
The malicious actors have sent text messages and AI-generated voice messages — techniques known as smishing and vishing, respectively — that claim to come from a senior US official in an effort to establish rapport before gaining access to personal accounts. One way the actors gain such access is by sending targeted individuals a malicious link under the guise of transitioning to a separate messaging platform. Access to personal or official accounts operated by US officials could be used to target other government officials, or their associates and contacts, by using trusted contact information they obtain. Contact information acquired through social engineering schemes could also be used to impersonate contacts to elicit information or funds. 悪意のある行為者は、個人アカウントにアクセスする前に信頼関係を築こうと、米国の高官を名乗るテキストメッセージやAI生成の音声メッセージ(それぞれsmishingやvishingと呼ばれる手法)を送信している。このようなアクセスを得る方法の1つは、別のメッセージング・プラットフォームへの移行を装って、標的となる個人に悪意のあるリンクを送ることだ。米国政府関係者が運営する個人アカウントまたは公式アカウントへのガバナンスは、入手した信頼できる連絡先情報を使用して、他の政府関係者、またはその関係者や連絡先を標的にするために使用される可能性がある。また、ソーシャル・エンジニアリング・スキームを通じて入手した連絡先情報は、情報や資金を引き出すために連絡先になりすますために使用される可能性もある。
"Smishing" is the malicious targeting of individuals using Short Message Service (SMS) or Multimedia Message Service (MMS) text messaging. "Vishing", which may incorporate AI-generated voices, is the malicious targeting of individuals using voice memos. Both smishing and vishing use tactics similar to spear phishing, which uses email to target specific individuals or groups. 「スミッシング」とは、ショート・メッセージ・サービス(SMS)またはマルチメディア・メッセージ・サービス(MMS)のテキスト・メッセージングを利用して個人を狙う悪意のある手口である。「ビッシング」は、AI生成的な音声を取り入れる可能性があり、ボイスメモを使って個人を狙う悪質なものである。スミッシングもビッシングも、特定の個人またはグループをターゲットに電子メールを使用するスピアフィッシングに似た手口を使用する。
Smishing, Vishing, and Spear Phishing Are Common Criminal Tactics 一般的な犯罪手口はスミッシング、ビッシング、スピアフィッシング
である
Traditionally, malicious actors have leveraged smishing, vishing, and spear phishing to transition to a secondary messaging platform where the actor may present malware or introduce hyperlinks that direct intended targets to an actor-controlled site that steals log-in information, like user names and passwords. For smishing, malicious actors typically use software to generate phone numbers that are not attributed to a specific mobile phone or subscriber to engage with a target by masquerading as an associate or family member. For vishing, malicious actors are more frequently exploiting AI-generated audio to impersonate well-known, public figures or personal relations to increase the believability of their schemes. 伝統的に、悪意のある行為者はスミッシング、ビッシング、スピアフィッシングを利用して、二次的なメッセージングプラットフォームに移行し、そこで行為者はマルウェアを提示したり、ハイパーリンクを導入して意図したターゲットを行為者が管理するサイトに誘導し、ユーザー名やパスワードなどのログイン情報を盗むことがある。スミッシングの場合、悪意のある行為者は通常、特定の携帯電話や加入者に起因しない電話番号を生成するソフトウェアを使用し、同僚や家族になりすましてターゲットに関与する。ビッシングの場合、悪意のある行為者はAI生成的な音声を悪用して、有名人や公的な人物、または個人的な関係者になりすまし、詐欺の信憑性を高めることが多くなっている。
Recommendations 推奨事項
The following guidance can be used to identify a suspicious message and help protect yourself from this campaign. 以下の防御策は、不審なメッセージを識別し、このキャンペーンから身を守るのに役立つ。
Spotting a Fake Message 偽メッセージを見分ける
・Verify the identity of the person calling you or sending text or voice messages. Before responding, research the originating number, organization, and/or person purporting to contact you. Then independently identify a phone number for the person and call to verify their authenticity. ・電話をかけてきたり、テキストや音声メッセージを送ってきたりする人物の身元を確認する。対応する前に、発信元の電話番号、組織、連絡先を調べる。そして、その人物の電話番号を独自に特定し、電話をかけて認証する。
・Carefully examine the email address; messaging contact information, including phone numbers; URLs; and spelling used in any correspondence or communications. Scammers often use slight differences to deceive you and gain your trust. For instance, actors can incorporate publicly available photographs in text messages, use minor alterations in names and contact information, or use AI-generated voices to masquerade as a known contact. ・Eメールアドレス、電話番号を含むメッセージの連絡先、URL、通信やコミュニケーションで使用されているスペルなどを注意深く調べる。詐欺師はしばしば、わずかな違いを利用してあなたを欺き、信頼を得ようとする。例えば、詐欺師は公開されている写真をテキストメッセージに取り入れたり、名前や連絡先情報を少し変えたり、AI生成的な音声を使って既知の連絡先になりすましたりする。
・Look for subtle imperfections in images and videos, such as distorted hands or feet, unrealistic facial features, indistinct or irregular faces, unrealistic accessories such as glasses or jewelry, inaccurate shadows, watermarks, voice call lag time, voice matching, and unnatural movements. ・手や足がゆがんでいる、顔の形が不自然、顔がはっきりしない、不規則、眼鏡や宝石などのアクセサリーが不自然、影が正確でない、電子透かしがある、音声通話のタイムラグがある、音声が一致しない、動きが不自然など、画像や動画の微妙な欠陥に注意する。
・Listen closely to the tone and word choice to distinguish between a legitimate phone call or voice message from a known contact and AI-generated voice cloning, as they can sound nearly identical. ・既知の連絡先からの正当な電話やボイス・メッセージと、AIが生成的 に作成したボイス・メッセージは、ほぼ同じに聞こえることがあるため、口調や言葉の選 択をよく聞いて区別すること。
・AI-generated content has advanced to the point that it is often difficult to identify. When in doubt about the authenticity of someone wishing to communicate with you, contact your relevant security officials or the FBI for help. ・AIが生成したコンテンツは、識別が困難なほど進化している。真偽が疑わしい場合は、セキュリティ当局やFBIに相談すること。
How to Protect Yourself from Potential Fraud or Loss of Sensitive Information 詐欺の可能性や機密情報の紛失から身を守るには
・Never share sensitive information or an associate’s contact information with people you have met only online or over the phone. If contacted by someone you know well via a new platform or phone number, verify the new contact information through a previously confirmed platform or trusted source. ・オンラインや電話でしか面識のない人に、機密情報や取引先の連絡先を教えない。新しいプラットフォームや電話番号を通じて、よく知っている人から連絡があった場合は、以前に確認したプラットフォームや信頼できる情報源を通じて、新しい連絡先情報を確認すること。
・Do not send money, gift cards, cryptocurrency, or other assets to people you do not know or have met only online or over the phone. If someone you know (or an associate of someone you know) requests that you send money or cryptocurrency, independently confirm contact information prior to taking action. Also, critically evaluate the context and plausibility of the request. ・金銭、ギフトカード、暗号通貨、その他の資産を、面識のない相手やオンラインや電話のみで知り合った相手に送らないこと。知人(または知人の関係者)から送金や暗号通貨を要求された場合、行動を起こす前に連絡先を独自に確認すること。また、依頼の背景や信憑性を批判的に評価すること。
・Do not click on any links in an email or text message until you independently confirm the sender's identity. ・メールやテキストメッセージのリンクは、送信者の身元を確認するまでクリックしないこと。
・Be careful what you download. Never open an email attachment, click on links in messages, or download applications at the request of or from someone you have not verified. ・ダウンロードには注意する。本人確認をしていない相手からの依頼で、メールの添付ファイルを開いたり、メッセージ内のリンクをクリックしたり、アプリケーションをダウンロードしたりしない。
・Set up two-factor (or multi-factor) authentication on any account that allows it, and never disable it. Actors may use social engineering techniques to convince you to disclose a two-factor authentication code, which allows the actor to compromise and take over accounts. Never provide a two-factor code to anyone over email, SMS/MMS text message or encrypted messaging application. ・二要素(または多要素)認証を許可しているアカウントでは、二要素(または多要素)認証を設定し、決して無効にしないこと。ソーシャル・エンジニアリングのテクニックを使って2ファクタ認証コードを開示させ、アカウントを乗っ取る。電子メール、SMS/MMSテキストメッセージ、または暗号化されたメッセージングアプリケーションを介して、2ファクタコードを誰にも提供しないこと。
・Create a secret word or phrase with your family members to verify their identities ・家族間で秘密の単語やフレーズを作り、本人確認を行う。
Victim Reporting and Additional Information 被害者の報告と追加情報
・For additional information, see FBI's guidance on Spoofing and Phishing as well as a previous Public Service Announcement about how "Criminals Use Generative Artificial Intelligence to Facilitate Financial Fraud." Cybersecurity and Infrastructure Security Agency (CISA) has published the following resources "Phishing Guidance: Stopping the Attack Cycle at Phase One | CISA" and "Teach Employees to Avoid Phishing | CISA." ・その他の情報については、なりすましとフィッシングに関するFBIのガイダンス、および「犯罪者が生成的人工知能を使用して金融詐欺を助長する」方法に関する以前の公共サービス広告を参照のこと。サイバーセキュリティ・インフラ・セキュリティ庁(CISA)は以下の資料を公表している: 攻撃サイクルを第一段階で止める|CISA「 および 」従業員にフィッシング回避を教える|CISA" を公表している。
If you believe you have been the victim of the campaign described above, contact your relevant security officials and the FBI. The FBI requests victims report any incident to your local FBI Field Office or the Internet Crime Complaint Center (IC3) at www.ic3.gov. Be sure to include as much detailed information as possible. 上記のキャンペーンの被害に遭ったと思われる場合は、関係するセキュリティ担当者及びFBIに連絡すること。FBIは、被害者がインシデントを受けた場合、最寄りのFBI支局またはインターネット犯罪苦情センター(IC3)(www.ic3.gov)に報告するよう要請している。可能な限り詳細な情報を記載すること。

 

 

 


 

参考...

 

内閣府

内閣府を騙った電子メールやサイトにご注意ください

金融庁

当庁を騙った電子メールや動画にご注意ください

デジタル庁

デジタル庁職員を名乗る不審電話にご注意ください

● 総務省

総務省職員を名乗る不審電話にご注意ください

外務省

外務省職員を発信元と詐称する不審メールにご注意ください

● 出入国在留管理庁

入管を名乗る不審な電話、メール等にご注意ください

財務省

財務省の名をかたる詐欺などにご注意!

● 国税庁

不審なメールや電話にご注意ください

厚生労働省

厚生労働省職員や機関を装った不審な電話・メールにご注意ください。

警察庁

警察官等をかたる詐欺

 

 

フィッシング対策については、警察庁

警察庁

フィッシング対策



 

| | Comments (0)

2025.04.29

Google Mandiantのレポート (M-Trends 2025 Report) (2025.04.24)

こんにちは、丸山満彦です。

Mandiantが2025年の脅威インテリジェンスレポートを公表していますね...ダウンロードをするためには、会社関係の登録が必要となります...

レポートは92ページあります。

 

・組織への侵入経路は

  • 最も多いのは脆弱性の悪用で33%。攻撃者は特にセキュリティデバイスやネットワークエッジデバイスを標的にしている。
  • 次に多いのは盗み出した認証情報(16%)とフィッシング(14%)。認証情報の窃取やソーシャルエンジニアリングの巧妙化が脅威を増大させている。認証情報の盗難は、地下フォーラムでの購入やインフォスティーラーによる収集を通じて増加している。多要素認証(MFA)の導入が急務。

・攻撃を受けている割合

  • 金融セクター 全体の約18%。同期は価値高いデータの入手や金銭的利益。
  • 続いて、専門職、ハイテク企業、政府、ヘルスケア

・攻撃者の滞在時間(検知するまでの時間)

  • 11日
  • 攻撃者による通知(14%)、内部検知(43%)、外部の検知(43%)

・新たな脅威

  • 北朝鮮のITワーカーによる内部脅威。金融、通信、ハイテク業界で確認されている。初期侵入の5%
  • Web3を標的した攻撃の増加

 

Google

・2025.04.24 M-Trends 2025 Report is now available

M-Trends 2025 Report is now available M-Trends 2025 レポートを発表
Stay ahead of the latest cyber threats with frontline insights from our incident response investigations. インシデント対応調査から得た最前線の知見で、最新のサイバー脅威を先取りしよう。
In this 16th edition of M-Trends, we share our observations and analysis of the dynamic threat landscape, and aim to provide security professionals with actionable guidance to enhance their security posture. M-Trendsの第16版である本レポートでは、ダイナミックな脅威の状況についての見解と分析を共有し、セキュリティ担当者にセキュリティ体制を強化するための実用的なガイダンスを提供することを目的としている。
Key trends explored in the report: 本レポートの主なトレンド
・Incident response metrics, including top detection sources and initial infection vectors ・インシデント対応の指標(上位の検知ソースや初期感染ベクトルなど
・Growing risk posed by infostealer malware ・情報窃取マルウェアがもたらすリスクの増大
・The Democratic People’s Republic of Korea IT worker threat ・朝鮮民主主義人民共和国のIT労働者の脅威
・The danger of unsecured data repositories ・安全でないデータ保管庫の危険性
・The Iranian threat landscape in 2024 ・2024年におけるイランの脅威状況
・The evolution of data theft in cloud and software as a service environments ・クラウドおよびSaaS環境におけるデータ盗難の進化
・Common themes in cloud compromise investigations ・クラウド侵害の調査に共通するテーマ
・Threats to Web3 and cryptocurrency ・Web3と暗号通貨への脅威

 

 

登録するとファイルがダウンロードできます...

20250429-52258

 

目次...

Introduction 序文
By the Numbers 数字で見る
Campaigns and Global Events キャンペーンと世界的な出来事
Targeted Attacks 標的型攻撃
Ransomware ランサムウェア
Cloud Compromises クラウド侵害
Threat Techniques 脅威の手口
Regional Reports 地域別レポート
 Americas  米州
 EMEA  欧州・中東・アフリカ
 JAPAC  日本
Articles 記事
Infostealer Malware Continues to Create a Threat to Enterprise Systems エンタープライズシステムへの脅威を生み続けるインフォステアマルウェア
Democratic People’s Republic of Korea Insider Threats 朝鮮民主主義人民共和国 インサイダーの脅威
The 2024 Iranian Threat Landscape 2024年イランの脅威情勢
Evolution of Data Theft in Cloud and Software-as-a-Service Environments クラウドおよびソフトウェア・アズ・ア・サービス環境におけるデータ盗難の進化 クラウドとSaaS環境におけるデータ盗難の進化
Common Themes in Cloud Compromise Investigations クラウド侵害の調査における共通のテーマ
Security Recommendations for Diverse Cloud and Hybrid Environments 多様なクラウドおよびハイブリッド環境に対するセキュリティの推奨
Threats to Web3 and Cryptocurrency Web3と暗号通貨への脅威
Unsecured Data Repositories 安全でないデータリポジトリ
Conclusion 結論
MITRE ATT&CK MITRE ATT&CK
Bibliography 参考文献

 

 

 

 

| | Comments (0)

2025.04.28

米国 FBI 従業員セルフサービスウェブサイトのなりすましに警告...(2025.04.25)

こんにちは、丸山満彦です。

企業や政府などの従業員が例えば給与明細を確認したり、住所変更などを自分でするようなサイトを模したサイトに誘導し、認証情報等を盗み出すような手口について、FBIが警告していますね。。。

個人、企業に対しての対策も書いていますけどね...

利用者としては、コピーされるとわかりませんよね... URLをちゃんと見るという感じなんでしょうけど...

 

IC3

・2025.04.25 Cyber Criminals Impersonating Employee Self-Service Websites to Steal Victim Information and Funds

 

Alert Number: I-042425-PSA アラート番号:I-042425-PSA
Cyber Criminals Impersonating Employee Self-Service Websites to Steal Victim Information and Funds サイバー犯罪者が従業員セルフサービスウェブサイトになりすまし、被害者の情報と資金を盗む
The FBI is warning the public that cyber criminals are targeting users of employee self-service websites owned by companies and government services. The cyber criminals are using search engine advertisements to impersonate legitimate websites and steal victim information and funds. FBIは、サイバー犯罪者が企業や政府サービスが所有する従業員セルフサービスウェブサイトの利用者を標的にしていることを警告している。サイバー犯罪者は、検索エンジン広告を利用して正規のウェブサイトになりすまし、被害者の情報や資金を盗んでいる。
Cyber criminals use fraudulent search engine advertisements to direct users to malicious websites that mimic the legitimate sites in appearance, but steal login credentials and other financial information when the victim logs in. Previously, cyber criminals primarily targeted small business commercial bank accounts in account takeover schemes, but have expanded to target payroll, unemployment programs, and health savings accounts with the goal of stealing money through fraudulent wire transactions or redirecting payments. サイバー犯罪者は、不正な検索エンジン広告を利用してユーザーを悪意のあるウェブサイトに誘導し、正規サイトの外観を模倣するが、被害者がログインした際にログイン認証情報やその他の財務情報を盗み出す。以前は、サイバー犯罪者は口座乗っ取りスキームで主に中小企業の商業銀行口座をターゲットにしていたが、不正な電信取引や支払いのリダイレクトを通じて金銭を盗むことを目的に、給与、失業プログラム、健康貯蓄口座をターゲットに拡大している。
Methodology 手口
Cyber criminals use advertisements that imitate legitimate companies to misdirect targets conducting an internet search for a specific website. The fraudulent URL appears at the top of search results and mimics the legitimate business URL with minimal differences, such as a minor misspelling. When targets click on the fraudulent advertisement link, they are redirected to a phishing website that closely mirrors the legitimate website. When the target enters login credentials, the cyber criminal intercepts the credentials. サイバー犯罪者は、正規の企業を模倣した広告を利用し、特定のウェブサイトをインターネット検索している標的を誤誘導する。不正なURLは検索結果の上位に表示され、スペルミスなど最小限の違いで正規企業のURLを模倣する。ターゲットが不正な広告リンクをクリックすると、正規のウェブサイトを忠実に模倣したフィッシング・ウェブサイトにリダイレクトされる。ターゲットがログイン認証情報を入力すると、サイバー犯罪者はその認証情報を傍受する。
Cyber criminals use captured credentials to gain full access to the victim's legitimate account and may use social engineering tactics to obtain the victim's token, if multi-factor authentication is enabled. One social engineering tactic involves masquerading as a bank representative while calling the victim and asking for their one-time passcode. The phishing site may also prompt the victim to enter their multifactor token. If a bank account is compromised, cyber criminals can transfer money from the accounts. If an employee payroll account, unemployment account, health savings account, or retirement account is accessed, the cyber criminal can change the direct deposit information and redirect future payments. If cyber criminals gain access to victim personally identifiable information (PII), they can also create new accounts that defraud victims. One indicator that cyber criminals have compromised a victim's financial account is the receipt of thousands of spam emails within a short period of time. Cyber criminals use spam emails to prevent the victim from noticing a legitimate organization's notification of account compromise サイバー犯罪者は、取得した認証情報を使って被害者の正規アカウントにフルアクセスし、多要素認証が有効になっている場合は、ソーシャル・エンジニアリングの手口を使って被害者のトークンを取得することもある。ソーシャル・エンジニアリングの1つの手口は、銀行の代表者になりすまして被害者に電話をかけ、ワンタイム・パスコードの入力を求めるというものである。フィッシング・サイトでは、被害者に多要素トークンの入力を促すこともある。銀行口座が侵害されると、サイバー犯罪者は口座から送金することができる。従業員の給与口座、失業口座、健康貯蓄口座、または退職口座にアクセスされた場合、サイバー犯罪者は口座振替情報を変更し、将来の支払いをリダイレクトすることができる。サイバー犯罪者が被害者の個人を特定できる情報(PII)にアクセスした場合、被害者を詐取する新しい口座を作ることもできる。サイバー犯罪者が被害者の金融口座に侵入したことを示す一つの指標は、短期間に何千通ものスパムメールを受信することである。サイバー犯罪者は、スパムメールを利用して、被害者が正規の組織からの口座侵害の通知に気付かないようにする
Tips to Protect Yourself 自分を守るための防御策
While most search engine advertisements are not malicious, it is important to practice caution when accessing a web page through an advertisement. 検索エンジンの広告のほとんどは悪意があるものではないが、広告を経由してウェブページにアクセスする際には注意が必要である。
The FBI recommends individuals take the following precautions: FBIは、個人に対して、以下のような注意を払うよう推奨している:
・Exercise caution when clicking on advertisements. Before clicking on an advertisement, check the URL to make sure the site is authentic. A malicious URL may be similar to the legitimate URL, but with typos. Malicious advertisements may also redirect users to a different website than indicated. ・広告をクリックする際には十分注意すること。広告をクリックする前にURLを確認し、そのサイトが認証されていることを確認する。悪意のあるURLは、正規のURLと似ているが、タイプミスがある場合がある。また、悪質な広告は、ユーザーを表示とは異なるウェブサイトにリダイレクトさせることもある。
・Type the business's URL directly into an internet browser address bar to access the official website instead of searching for it in a search engine. ・検索エンジンで探すのではなく、インターネット・ブラウザのアドレスバーに企業のURLを直接入力して公式サイトにアクセスする。
・Use an ad blocking extension when performing internet searches. Most internet browsers allow a user to add extensions, including extensions that block advertisements. These ad blockers can be turned on and off within a browser to permit advertisements on certain websites while blocking advertisements on others. ・インターネット検索を行う際には、広告ブロック拡張機能を使用する。ほとんどのインターネット・ブラウザでは、ユーザーが拡張機能を追加することができ、その中には広告をブロックする拡張機能も含まれている。これらの広告ブロック機能は、ブラウザ内でオン・オフを切り替えることができ、特定のウェブサイトでは広告を許可し、他のウェブサイトでは広告をブロックすることができる。
・Use Bookmarks or Favorites for navigating to login websites rather than clicking on Internet search results or advertisements. Multi-factor authentication will not protect you if you land on a fraudulent login page. ・インターネットの検索結果や広告をクリックするのではなく、ブックマークやお気に入りを使用してログイン・ウェブサイトに移動する。多要素認証では、詐欺的なログインページにアクセスした場合に保護されない。
・If your account requires multi-factor authorization, be aware that cyber criminals may use social engineering techniques to obtain access to accounts, including calling and pretending to be a bank employee or technical support to obtain a One-Time Passcode. アカウントに多要素認証が必要な場合、サイバー犯罪者はソーシャル・エンジニアリングのテクニックを使ってアカウントにアクセスすることがある。
The FBI recommends businesses take the following precautions: FBIは、企業に対して以下のような予防策を講じることを推奨している:
・Use domain protection services to notify businesses when similar domains are registered to prevent domain spoofing. ・ドメイン詐称を防ぐため、類似のドメインが登録された際に企業に通知するドメイン防御サービスを利用する。
・Notify the user immediately via multiple methods (phone, email, text message) when fraudulent wire transactions are detected. ・不正な電信取引が検知された場合は、複数の方法(電話、電子メール、テキストメッセージ)で直ちにユーザーに通知する。
・Educate users about spoofed websites and the importance of confirming destination URLs. ・なりすましのウェブサイトや、宛先URLを確認することの重要性について、利用者を教育する。
・Educate users about where to find legitimate downloads for programs provided by the business. ・事業者が提供するプログラムの正規のダウンロード先がどこにあるか、ユーザーを教育する。
Reporting 報告
If you believe you clicked on a fraudulent search engine advertisement, report the fraud to the FBI Internet Crime Complaint Center at www.ic3.gov. Be sure to include transaction information when available. When fraudulent transactions are reported in a timely manner and complete transaction information is provided, the IC3 Recovery Asset Team may be able to assist in freezing hundreds of thousands of dollars for victims of cybercrime, including fraud. It is also important to contact your bank/payroll/health savings organization to request a recall or reversal as soon as you recognize fraud. 不正な検索エンジンの広告をクリックしたと思われる場合は、FBIインターネット犯罪苦情センター(www.ic3.gov)に詐欺を報告する。その際、取引情報があれば必ず記載すること。詐欺取引が適時に報告され、完全な取引情報が提供された場合、IC3 Recovery Asset Teamは、詐欺を含むサイバー犯罪の被害者のために数十万ドルの凍結を支援できる可能性がある。また、詐欺に気づいたらすぐに銀行/給与支払機関/健康貯蓄機関に連絡し、回収または取り消しを要請することも重要である。

 

 

1_20250428102201

 

 

 

| | Comments (0)

2025.04.27

米国 FBI 2024年インターネット犯罪レポート (2025.04.23)

こんにちは、丸山満彦です。

米国のFBIが2024年のインターネット犯罪レポートを公表していますね...IC3は設立20周年となりましたね...

  • 2024年の損失額:166億ドル(約2.4兆円)
  • 対前年比 33%増
  • 2024年の苦情受付件数:859,532

 

2024年の上位10位の犯罪タイプについて過去9年間のグラフにしてみました。

1_20250427072101

 

 被害金額順にするとまた違った感じ...

2_20250427072101

 

日本で話題のランサムがない!!!ということではないのですが...

2023, 2024のデータでみてみると...

件数

3_20250427072201

 

被害額...

4_20250427072201

 

・[xlsx] 整理されていない元データ

 

 

FBI

・2025.04.23 FBI Releases Annual Internet Crime Report

FBI Releases Annual Internet Crime Report FBIがインターネット犯罪年次報告書を発表
The Federal Bureau of Investigation’s Internet Crime Complaint Center (IC3) has released its latest annual report. The 2024 Internet Crime Report combines information from 859,532 complaints of suspected internet crime and details reported losses exceeding $16 billion—a 33% increase in losses from 2023. 連邦捜査局のインターネット犯罪苦情センター(IC3)は、最新の年次報告書を発表した。2024年インターネット犯罪報告書は、インターネット犯罪の疑いに関する859,532件の苦情情報を統合したもので、報告された被害額は160億ドルを超え、2023年から33%増加している。
The top three cyber crimes, by number of complaints reported by victims in 2024, were phishing/spoofing, extortion, and personal data breaches. Victims of investment fraud, specifically those involving cryptocurrency, reported the most losses—totaling over $6.5 billion. 2024年に被害者から報告された苦情件数の上位3つのサイバー犯罪は、フィッシング/なりすまし、恐喝、個人データ漏えいであった。投資詐欺、特に暗号通貨に関わる詐欺の被害者が最も多く、被害総額は65億ドルを超えた。
According to the 2024 report, the most complaints were received from California, Texas, and Florida. As a group, people over the age of 60 suffered the most losses at nearly $5 billion and submitted the greatest number of complaints. 2024年の報告書によると、カリフォルニア、テキサス、フロリダからの苦情が最も多かった。グループとして、60歳以上の人々が約50億ドルという最も多くの損失を被り、最も多くの苦情を提出した。
“Reporting is one of the first and most important steps in fighting crime so law enforcement can use this information to combat a variety of frauds and scams,” said FBI Director, Kash Patel. “The IC3, which is celebrating its 25th anniversary this year, is only as successful as the reports it receives; that’s why it’s imperative that the public immediately report suspected cyber-enabled criminal activity to the FBI.” 「通報は犯罪と闘うための最初の、そして最も重要なステップの一つであり、法執行機関はこの情報を使って様々な詐欺や詐欺と闘うことができる」とFBI長官のカシュ・パテルは述べた。「今年で25周年を迎えるIC3は、通報があってこそ成功する。だからこそ、サイバー犯罪の疑いがある場合は、一般市民が直ちにFBIに通報することが不可欠なのだ。
To promote public awareness, the IC3 produces an annual report to aggregate and highlight the data provided by the general public. The quality of the data is a direct reflection of the information the public provides through the IC3 website. The IC3 standardizes the data by categorizing each complaint and analyzes the data to identify and forecast trends in internet crime. The annual report helps the FBI develop effective relationships with industry partners and share information for investigative and intelligence purposes for law enforcement and public awareness. 一般市民の認識を促進するため、IC3は一般市民から提供されたデータを集約し、強調する年次報告書を作成している。データの質は、一般市民がIC3のウェブサイトを通じて提供した情報を直接反映したものである。IC3は、各苦情を分類することによってデータを標準化し、インターネット犯罪の傾向を特定し予測するためにデータを分析する。この年次報告書は、FBIが業界パートナーと効果的な関係を築き、法執行や社会啓発のための捜査や情報収集の目的で情報を共有するのに役立っている。
The IC3, which was established in May 2000, houses nine million complaints from the public in its database and continues to encourage anyone who thinks they’ve been the victim of a cyber-enabled crime, regardless of dollar loss, to file a complaint through the IC3 website. The more comprehensive complaints the FBI receives, the more effective it will be in helping law enforcement gain a more accurate picture of the extent and nature of internet-facilitated crimes. 2000年5月に設立されたIC3は、一般市民からの900万件の苦情をデータベースに蓄積しており、金額の大小にかかわらず、サイバー犯罪の被害に遭ったと思う人は、IC3のウェブサイトから苦情を申し立てるよう、引き続き呼びかけている。FBIがより多くの包括的な苦情を受理すればするほど、法執行機関がインターネットを利用した犯罪の範囲と性質をより正確に把握する上で、より効果的となる。
The FBI recommends that everyone frequently review consumer and industry alerts published by the IC3. If you or your business are a victim of an internet crime, immediately notify all financial institutions involved in the relevant transactions, submit a complaint to www.ic3.gov, contact your nearest FBI field office, and contact local law enforcement. FBIは、IC3が発表する消費者向けおよび業界向けの注意喚起を頻繁に確認することを推奨している。あなたやあなたの会社がインターネット犯罪の被害に遭ったら、直ちに関連取引に関与したすべての金融機構に通知し、www.ic3.gov に苦情を提出し、最寄りのFBI支部に連絡し、地元の法執行機関に連絡すること。
Learn more about the history of IC3 by listening to this previously released FBI podcast episode: Inside the FBI: IC3 Turns 20. IC3の歴史については、以前に公開されたFBIのポッドキャスト・エピソードを聞いていただきたい: FBIの内側: IC3は20歳になった。

 

・[PDF] Internet Crime Report 2024

20250426-75942

 

⚫︎ Internet Crime Complaint Center (IC3) - Annual Reports

2011年からの年報告書がそろっています...

 

2001年からのレポートを載せておきますね...

2024_ic3report.pdf

2023_ic3report.pdf

2022_ic3report.pdf

2021_ic3report.pdf

2020_ic3report.pdf

2019_ic3report.pdf

2018_ic3report.pdf

2017_ic3report.pdf

2016_ic3report.pdf

2015_ic3report.pdf

2014_ic3report.pdf

2013_ic3report.pdf

2012_ic3report.pdf

2011_ic3report.pdf

2010_ic3report.pdf

2009_ic3report.pdf

2008_ic3report.pdf

2007_ic3report.pdf

2006_ic3report.pdf

2005_ic3report.pdf

2004_ic3report.pdf

2003_ic3report.pdf

2002_ifccreport.pdf

2001_ifccreport.pdf

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.03.13 米国 FBI 2023年インターネット犯罪レポート (2024.03.11)

・2023.04.14 米国 FBI 2022年インターネット犯罪レポート (2023.03.22)

・2022.03.23 米国 FBI 2021年インターネット犯罪レポート

・2021.04.11 FBI インターネット犯罪レポート2020を発表

 

日本...

・2025.03.22 警察庁 サイバー空間をめぐる脅威の情勢等 (2025.03.13)

・2024.12.30 公安調査庁 サイバー空間における脅威の概況2024 (2024.12)

・2024.10.31 警察庁 令和5年の犯罪 (2024.10)

・2023.10.31 警察庁 令和4年の犯罪 (2023.10.20)

・2023.06.08 公安調査庁 サイバー空間における脅威の概況2023 (2023.05.25)

・2023.03.17 警察庁 令和4年におけるサイバー空間をめぐる脅威の情勢等について

・2022.04.17 公安調査庁 サイバー空間における脅威の概況2022

・2022.04.12 警察庁 令和3年におけるサイバー空間をめぐる脅威の情勢等について (2022.04.07)

 

日米の警察にきているサイバー犯罪の苦情件数の差ってなんなんでしょうね。。。ということでこの委員会なんでしょうかね。。。

・2023.04.11 警察庁 サイバー事案の被害の潜在化防止に向けた検討会報告書 (2023.04.06)

・2022.12.05 警察庁 「サイバー事案の被害の潜在化防止に向けた検討会」の開催

 

 


 

 

| | Comments (0)

2025.03.22

警察庁 サイバー空間をめぐる脅威の情勢等 (2025.03.13)

こんにちは、丸山満彦です。

 

警察庁が「サイバー空間をめぐる脅威の情勢等」について公表していますね...

 

【図表4:ランサムウェア被害からの復旧期間と費用の関係性】

私のほうでグラフは作ったのですが...コストがどのくらいかかるのか???という話もよく聞くので...

1_20250322073301

 

「コラム:ランサムウェアに関するサイバー特別捜査部による分析」も興味深いです...

...アンケート結果によると、VPN やリモートデスクトップ用の機器からの侵入が、全体の感染経路の8割以上を占める状況である...

...原因としては、ID・パスワード等が非常に安易であったことや、不必要なアカウントがきちんと管理されずに存在していたことなが挙げられる...

...海外支社等の機器を管理できていなかったためにそこから侵入され、国内の本社が被害に遭う事例...

...試験的に作成したアカウントの安易な認証情報を利用されて侵入された事例...

...土日が休業日の企業を狙う場合に、金曜日の営業終了後にシステムに侵入して月曜日の朝までに暗号化を実行...

...被害企業に侵入口を閉じられた場合でも再侵入できるように遠隔操作可能なソフトウェアをバックドアとして設置...

...侵入時に被害企業のログやバックアップを消去...



警察庁

・2025.03.13 サイバー空間をめぐる脅威の情勢等

・・[PDF] 令和6年におけるサイバー空間をめぐる脅威の情勢等について

20250322-73933

 

 

各種統計...(2025.03.22更新)

  国家公安委員会・警察庁 法務省 公安調査庁
発行年 警察白書 統計書 サイバー空間をめぐる脅威の情勢等 不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況 不正アクセス行為対策等の実態調査・アクセス制御機能に関する技術の研究開発の状況等に関する調査 付録 犯罪白書 サイバー空間における脅威の概況 
  PDF HTML PDF PDF PDF PDF HTML PDF
2025     令和6年 令和6年        
2024 令和6年 令和5年の犯罪 令和5年 令和5年 令和6年   令和6年  2024
2023 令和5年 令和4年の犯罪 令和4年 令和4年 令和5年 令和5年 2023
2022 令和4年 令和3年の犯罪 令和3年 令和3年 令和4年 令和4年 2022
2021 令和3年 令和2年の犯罪 令和2年 令和2年 令和3年 令和3年 2021
2020 令和2年 令和元年の犯罪 令和元年 令和元年 令和2年 令和2年 2020
2019 令和元年 平成30年の犯罪 平成30年 平成30年 令和元年 令和元年  
2018 平成30年 平成29年の犯罪 平成29年 平成29年 平成30年 平成30年  
2017 平成29年 平成28年の犯罪 平成28年 平成28年 平成29年 平成29年  
2016 平成28年 平成27年の犯罪 平成27年 平成27年 平成28年   平成28年  
2015 平成27年 平成26年の犯罪 平成26年 平成26年 平成27年 平成27年  
2014 平成26年 平成25年の犯罪   平成25年 平成26年 平成26年  
2013 平成25年 平成24年の犯罪   平成24年 平成25年 平成25年  
2012 平成24年 平成23年の犯罪   平成23年 平成24年 平成24年  
2011 平成23年 平成22年の犯罪     平成23年   平成23年  
2010 平成22年 平成21年の犯罪     平成22年   平成22年  
2009 平成21年 平成20年の犯罪     平成21年   平成21年  
2008 平成20年 平成19年の犯罪     平成20年   平成20年  
2007 平成19年 平成18年の犯罪     平成19年   平成19年  
2006 平成18年 平成17年の犯罪     平成18年   平成18年  
2005 平成17年 平成16年の犯罪     平成17年   平成17年  
2004 平成16年 平成15年の犯罪     平成16年   平成16年  
2003 平成15年 平成14年の犯罪         平成15年  
2002 平成14年 平成13年の犯罪         平成14年  
2001 平成13年 平成12年の犯罪         平成13年  
2000 平成12年           平成12年  
1999 平成11年           平成11年  
1998 平成10年           平成10年  
1997 平成9年           平成9年  
1996 平成8年           平成8年  
1995 平成7年           平成7年  
1994 平成6年           平成6年  
1993 平成5年           平成5年  
1992 平成4年           平成4年  
1991 平成3年           平成3年  
1990 平成2年           平成2年  
1989 平成 元年           平成 元年  
1988 昭和63年           昭和63年  
1987 昭和62年           昭和62年  
1986 昭和61年           昭和61年  
1985 昭和60年           昭和60年  
1984 昭和59年           昭和59年  
1983 昭和58年           昭和58年  
1982 昭和57年           昭和57年  
1981 昭和56年           昭和56年  
1980 昭和55年           昭和55年  
1979 昭和54年           昭和54年  
1978 昭和53年           昭和53年  
1977 昭和52年           昭和52年  
1976 昭和51年           昭和51年  
1975 昭和50年           昭和50年  
1974 昭和49年           昭和49年  
1973 昭和48年           昭和48年  
1972             昭和47年  
1971             昭和46年  
1970             昭和45年  
1969             昭和44年  
1968             昭和43年  
1967             昭和42年  
1966             昭和41年  
1965             昭和40年  
1964             昭和39年  
1963             昭和38年  
1962             昭和37年  
1961             昭和36年  
1960             昭和35年  

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.12.30 公安調査庁 サイバー空間における脅威の概況2024 (2024.12)

・2024.10.31 警察庁 令和5年の犯罪 (2024.10)

・2023.10.31 警察庁 令和4年の犯罪 (2023.10.20)

・2023.06.08 公安調査庁 サイバー空間における脅威の概況2023 (2023.05.25)

・2023.03.17 警察庁 令和4年におけるサイバー空間をめぐる脅威の情勢等について

・2022.04.17 公安調査庁 サイバー空間における脅威の概況2022

・2022.04.12 警察庁 令和3年におけるサイバー空間をめぐる脅威の情勢等について (2022.04.07)

 

| | Comments (0)

2025.03.11

フィッシング対策協議会 技術・制度検討 WG 報告会 (2025.02.25)

こんにちは、丸山満彦です。

2025.02.25 に開催されたフィッシング対策協議会 技術・制度検討 WG 報告会の資料が公開されています。

フィッシングによってID、パスワード等を搾取されたり、マルウェアを仕込まれたりと、被害の入り口となるわけですが、対応している団体は自分たちが悪いわけではないのに、いろいろと対応をし、お客様含め社会全体の被害が広がらないように努力されていますね...

国民生活全体に関わる話なので、事業者が実施している対策の一部でもよいので、国民の税金による対策というのも議員、政府の皆様は考えても良いのかも知れませんね...もちろん、NISC、総務省、警察庁、金融庁、消費者庁等が、情報提供や被害防止のための活動をしているのは承知していますが...

 

⚫︎ フィッシング対策協議会

・2025.02.25 技術・制度検討WG 報告会

2025年版フィッシングレポートの概要とポイント 加藤 孝浩 氏 TOPPANエッジ株式会社
フィッシング対策協議会運営委員長
フィッシング対策ガイドライン2025の概要と改訂ポイント 木村 泰司 氏 一般社団法人日本ネットワークインフォメーションセンター
技術・制度検討WG主査
フィッシングに対する意識調査の紹介  鈴木 伸吾 氏 NTTコムオンライン・マーケティング・ソリューション株式会社
DMARCの普及状況  加藤 孝浩 氏 TOPPANエッジ株式会社
フィッシング対策協議会 運営委員長
パスキーについて  松本 悦宜 氏 Capy株式会社
進化したワンタイムパスワード  藤井 治彦 氏 バンクガード株式会社

 

2025年版フィッシングレポートの概要とポイントから...

20250311-92511

20250311-92521

 

 


 

フィッシングに対する意識調査の紹介から...

20250311-93351

 

20250311-93615_20250311093601

 


 

 

Continue reading "フィッシング対策協議会 技術・制度検討 WG 報告会 (2025.02.25)"

| | Comments (0)

2025.02.17

ドイツ BSI 多要素認証・パスキーのすすめ(パスワード変更の日とより安全なインターネットの日)

こんにちは、丸山満彦です。

ドイツでは、毎年2月1日がパスワード変更の日(Ändere-dein-Passwort-Tag)、2月11日がより安全なインターネットの日(Safer Internet Day)となっています。

BSIがそれにちなんでプレスをしているのですが、その内容が興味深いです...

 

パスワード変更の日の前日には、「パスワードの変更は過去のもの: 消費者がユーザーアカウントを保護する方法」、

より安全なインターネットの日の前日には、「BSIDsiN電子メールのセキュリティに関する神話を払拭する。」、

をそれぞれ発表しています...

 

少し前にパスワードの定期的変更についての議論がありましたね(NIST SP800シリーズで、パスワードの定期的変更を推奨事項から削除したこともあって...)

少し前提の整理をしますと...

  • ユーザは、利便性が低いシステムは利用したくない。(消費者向けサービスの場合は、売上に直結する。)
  • パスワードがすでに乗っ取られている場合には、パスワードの変更は、なりすまし防止に一定の効果がある。
  • ユーザはパスワードを自主的に変更しようとすることはない。(対策としては、システムによる定期的な変更の強制)
  • パスワードの定期的変更をユーザに求めると、より覚えやすい(より見破られやすい)パスワードを利用しがちである。
  • 技術の発展により、特に短い文字数のパスワードを見つけられる可能性が高まっている。
  • 消費者ユーザのスマートフォンの利用が進み、パスワード以外によるより確実な認証・認可プロセスが技術的に簡便に利用できる環境になっている。

という、ことになりますかね...

 

Bundesamt für Sicherheit in der Informationstechnik; BSI

1_20250217042501

パスワード変更の日の前日の発表

パスワードの変更は過去のもの: 消費者がユーザ・アカウントを保護する方法

1_20250217042901

・2025.01.31 Passwortwechseln war gestern: Wie Verbraucherinnen und Verbraucher ihre Benutzerkonten absichern können

 

 

より安全なインターネットの日の前日の発表

より安全なインターネットの日:BSIDsiN電子メールのセキュリティに関する神話を払拭する。

1_20250217042601

・2025.02.10 Safer Internet Day: BSI und DsiN räumen mit Mythen zu E-Mail-Sicherheit auf

 

 

 

 

 

 

| | Comments (0)

2025.02.08

IPA 「情報セキュリティ10大脅威 2025」を公開 (2025.01.30)

こんにちは、丸山満彦です。

IPAが「情報セキュリティ10大脅威 2025」を発表していますね。2006年から始まっていますので、長い間続いていますね。。。

ランサムウェアの脅威はこの5年間トップですね。。。サプライチェーン攻撃もこのところ上位で、この4年間で上昇していますね。。。標的型攻撃による情報漏洩については、5−8年前は連続トップでしたが、このところは2, 3位となっていましたが、今年は5位。

個人については、今年から順序付けせずに、あいうえお順...

ちなみに、組織にとっての情報セキュリティなので、サイバー空間を利用した脅威である、「偽情報等による〜」みたいなものは入っていないのかもしれませんね。。。ただ、個人の脅威にはいっている「偽警告によるインターネット詐欺」は、「偽情報による〜」ということのような気もする。。

 

● IPA

・2025.01.30 情報セキュリティ10大脅威 2025

「個人」向け脅威(五十音順) 2025 「組織」向け脅威 2024
インターネット上のサービスからの個人情報の窃取 1位 ランサム攻撃による被害 1位
インターネット上のサービスへの不正ログイン 2位 サプライチェーンや委託先を狙った攻撃 2位
クレジットカード情報の不正利用 3位 システムの脆弱性を突いた攻撃 5位
スマホ決済の不正利用 4位 内部不正による情報漏えい等 3位
偽警告によるインターネット詐欺 5位 機密情報等を狙った標的型攻撃 4位
ネット上の誹謗・中傷・デマ 6位 リモートワーク等の環境や仕組みを狙った攻撃 9位
フィッシングによる個人情報等の詐取 7位 地政学的リスクに起因するサイバー攻撃 -
不正アプリによるスマートフォン利用者への被害 8位 分散型サービス妨害攻撃(DDoS攻撃) -
メールやSMS等を使った脅迫・詐欺の手口による金銭要求 9位 ビジネスメール詐欺 8位
ワンクリック請求等の不当請求による金銭被害 10位 不注意による情報漏えい等 6位

 

 

過去から(組織向け)...

20250208-135743

 

 

 

個人(五十音順) 2024 組織 2023
インターネット上のサービスからの個人情報の窃取 1位 ランサムウェアによる被害 1位
インターネット上のサービスへの不正ログイン 2位 サプライチェーンの弱点を悪用した攻撃 2位
クレジットカード情報の不正利用 3位 内部不正による情報漏えい等の被害 4位
スマホ決済の不正利用 4位 標的型攻撃による機密情報の窃取 3位
偽警告によるインターネット詐欺 5位 修正前の公開前を狙う攻撃(ゼロデイ攻撃) 6位
ネット上の誹謗・中傷・デマ 6位 不注意による情報漏えい等の被害 9位
フィッシングによる個人情報等の詐取 7位 脆弱性対策情報の公開に伴う悪用増加 8位
不正アプリによるスマートフォン利用者への被害 8位 ビジネスメール詐欺による金銭被害 7位
メールやSMS等を使った脅迫・詐欺の手口による金銭要求 9位 テレワーク等のニューノーマルな働き方を狙った攻撃 5位
ワンクリック請求等の不当請求による金銭被害 10位 犯罪のビジネス化(アンダーグラウンドサービス) 10位

 

2022 個人 2023 組織 2022
1位 フィッシングによる個人情報等の詐取 1位 ランサムウェアによる被害 1位
2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪用した攻撃 3位
3位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 3位 標的型攻撃による機密情報の窃取 2位
4位 クレジットカード情報の不正利用 4位 内部不正による情報漏えい 5位
5位 スマホ決済の不正利用 5位 テレワーク等のニューノーマルな働き方を狙った攻撃 4位
7位 不正アプリによるスマートフォン利用者への被害 6位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) 7位
6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による金銭被害 8位
8位 インターネット上のサービスからの個人情報の窃取 8位 脆弱性対策情報の公開に伴う悪用増加 6位
10位 インターネット上のサービスへの不正ログイン 9位 不注意による情報漏えい等の被害 10位
New ワンクリック請求等の不当請求による金銭被害 10位 犯罪のビジネス化(アンダーグラウンドサービス) New

 

2021 個人 2022 組織 2021
2位 フィッシングによる個人情報等の詐取 1位 ランサムウェアによる被害 1位
3位 ネット上の誹謗・中傷・デマ 2位 標的型攻撃による機密情報の窃取 2位
4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 3位 サプライチェーンの弱点を悪用した攻撃 4位
5位 クレジットカード情報の不正利用 4位 テレワーク等のニューノーマルな働き方を狙った攻撃 3位
1位 スマホ決済の不正利用 5位 内部不正による情報漏えい 6位
8位 偽警告によるインターネット詐欺 6位 脆弱性対策情報の公開に伴う悪用増加 10位
9位 不正アプリによるスマートフォン利用者への被害 7位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) New
7位 インターネット上のサービスからの個人情報の窃取 8位 ビジネスメール詐欺による金銭被害 5位
6位 インターネットバンキングの不正利用 9位 予期せぬIT基盤の障害に伴う業務停止 7位
10位 インターネット上のサービスへの不正ログイン 10位 不注意による情報漏えい等の被害 9位

 

2020 個人 2021 組織 2020
1位 スマホ決済の不正利用 1位 ランサムウェアによる被害 5位
2位 フィッシングによる個人情報等の詐取 2位 標的型攻撃による機密情報の窃取 1位
7位 ネット上の誹謗・中傷・デマ 3位 テレワーク等のニューノーマルな働き方を狙った攻撃 NEW
5位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻撃 4位
3位 クレジットカード情報の不正利用 5位 ビジネスメール詐欺による金銭被害 3位
4位 インターネットバンキングの不正利用 6位 内部不正による情報漏えい 2位
10位 インターネット上のサービスからの個人情報の窃取 7位 予期せぬIT基盤の障害に伴う業務停止 6位
9位 偽警告によるインターネット詐欺 8位 インターネット上のサービスへの不正ログイン 16位
6位 不正アプリによるスマートフォン利用者への被害 9位 不注意による情報漏えい等の被害 7位
8位 インターネット上のサービスへの不正ログイン 10位 脆弱性対策情報の公開に伴う悪用増加 14位
         
2019 個人 2020 組織 2019
NEW スマホ決済の不正利用 1位 標的型攻撃による機密情報の窃取 1位
2位 フィッシングによる個人情報の詐取 2位 内部不正による情報漏えい 5位
1位 クレジットカード情報の不正利用 3位 ビジネスメール詐欺による金銭被害 2位
7位 インターネットバンキングの不正利用 4位 サプライチェーンの弱点を悪用した攻撃 4位
4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 5位 ランサムウェアによる被害 3位
3位 不正アプリによるスマートフォン利用者への被害 6位 予期せぬIT基盤の障害に伴う業務停止 16位
5位 ネット上の誹謗・中傷・デマ 7位 不注意による情報漏えい(規則は遵守) 10位
8位 インターネット上のサービスへの不正ログイン 8位 インターネット上のサービスからの個人情報の窃取 7位
6位 偽警告によるインターネット詐欺 9位 IoT機器の不正利用 8位
12位 インターネット上のサービスからの個人情報の窃取 10位 サービス妨害攻撃によるサービスの停止 6位
         
2018 個人 2019 組織 2018
1位 クレジットカード情報の不正利用 1位 標的型攻撃による被害 1位
1位 フィッシングによる個人情報等の詐取 2位 ビジネスメール詐欺による被害 3位
4位 不正アプリによるスマートフォン利用者への被害 3位 ランサムウェアによる被害 2位
NEW メール等を使った脅迫・詐欺の手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻撃の高まり NEW
3位 ネット上の誹謗・中傷・デマ 5位 内部不正による情報漏えい 8位
10位 偽警告によるインターネット詐欺 6位 サービス妨害攻撃によるサービスの停止 9位
1位 インターネットバンキングの不正利用 7位 インターネットサービスからの個人情報の窃取 6位
5位 インターネットサービスへの不正ログイン 8位 IoT機器の脆弱性の顕在化 7位
2位 ランサムウェアによる被害 9位 脆弱性対策情報の公開に伴う悪用増加 4位
9位 IoT 機器の不適切な管理 10位 不注意による情報漏えい 12位
         
2017 個人 2018 組織 2017
1位 インターネットバンキングやクレジットカード情報等の不正利用 1位 標的型攻撃による被害 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 2位
7位 ネット上の誹謗・中傷 3位 ビジネスメール詐欺による被害 NEW
3位 スマートフォンやスマートフォンアプリを狙った攻撃 4位 脆弱性対策情報の公開に伴う悪用増加 NEW
4位 ウェブサービスへの不正ログイン 5位 脅威に対応するためのセキュリティ人材の不足 NEW
6位 ウェブサービスからの個人情報の窃取 6位 ウェブサービスからの個人情報の窃取 3位
8位 情報モラル欠如に伴う犯罪の低年齢化 7位 IoT機器の脆弱性の顕在化 8位
5位 ワンクリック請求等の不当請求 8位 内部不正による情報漏えい 5位
10位 IoT機器の不適切な管理 9位 サービス妨害攻撃によるサービスの停止 4位
NEW 偽警告によるインターネット詐欺 10位 犯罪のビジネス化(アンダーグラウンドサービス) 9位
         
2016 個人 2017 組織 2016
1位 インターネットバンキングやクレジットカード情報の不正利用 1位 標的型攻撃による情報流出 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 7位
3位 スマートフォンやスマートフォンアプリを狙った攻撃 3位 ウェブサービスからの個人情報の窃取 3位
5位 ウェブサービスへの不正ログイン 4位 サービス妨害攻撃によるサービスの停止 4位
4位 ワンクリック請求等の不当請求 5位 内部不正による情報漏えいとそれに伴う業務停止 2位
7位 ウェブサービスからの個人情報の窃取 6位 ウェブサイトの改ざん 5位
6位 ネット上の誹謗・中傷 7位 ウェブサービスへの不正ログイン 9位
8位 情報モラル欠如に伴う犯罪の低年齢化 8位 IoT機器の脆弱性の顕在化 NEW
10位 インターネット上のサービスを悪用した攻撃 9位 攻撃のビジネス化(アンダーグラウンドサービス) NEW
NEW IoT機器の不適切な管理 10位 インターネットバンキングやクレジットカード情報の不正利用 8位

 

個人(カッコ内は総合順位) 2016 組織(カッコ内は総合順位)
インターネットバンキングやクレジットカード情報の不正利用(1位) 1位 標的型攻撃による情報流出(2位)
ランサムウェアを使った詐欺・恐喝(3位) 2位 内部不正による情報漏えいとそれに伴う業務停止(8位)
審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ(7位) 3位 ウェブサービスからの個人情報の窃取(4位)
巧妙・悪質化するワンクリック請求(9位) 4位 サービス妨害攻撃によるサービスの停止(-)
ウェブサービスへの不正ログイン(5位) 5位 ウェブサイトの改ざん(6位)
匿名によるネット上の誹謗・中傷(-) 6位 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加(10位)
ウェブサービスからの個人情報の窃取(4位) 7位 ランサムウェアを使った詐欺・恐喝(3位)
情報モラル不足に伴う犯罪の低年齢化(-) 8位 インターネットバンキングやクレジットカード情報の不正利用(1位)
職業倫理欠如による不適切な情報公開(-) 9位 ウェブサービスへの不正ログイン(5位)
インターネットの広告機能を悪用した攻撃(-) 10位 過失による情報漏えい(-)

 

  2015  
1 インターネットバンキングやクレジットカード情報の不正利用 ~個人口座だけではなく法人口座もターゲットに~
2 内部不正による情報漏えい ~内部不正が事業に多大な悪影響を及ぼす~
3 標的型攻撃による諜報活動 ~標的組織への侵入手口が巧妙化~
4 ウェブサービスへの不正ログイン ~利用者は適切なパスワード管理を~
5 ウェブサービスからの顧客情報の窃取 ~脆弱性や設定の不備を突かれ顧客情報が盗まれる~
6 ハッカー集団によるサイバーテロ ~破壊活動や内部情報の暴露を目的としたサイバー攻撃~
7 ウェブサイトの改ざん ~知らぬ間に、ウイルス感染サイトに仕立てられる~
8 インターネット基盤技術を悪用した攻撃 ~インターネット事業者は厳重な警戒を~
9 脆弱性公表に伴う攻撃 ~求められる迅速な脆弱性対策~
10 悪意のあるスマートフォンアプリ ~アプリのインストールで友人に被害が及ぶことも~
   
  2014
1 標的型メールを用いた組織へのスパイ・諜報活動 サイバー空間(領域)問題
2 不正ログイン・不正利用 ウイルス・ハッキングによるサイバー攻撃
3 ウェブサイトの改ざん ウイルス・ハッキングによるサイバー攻撃
4 ウェブサービスからのユーザー情報の漏えい ウイルス・ハッキングによるサイバー攻撃
5 オンラインバンキングからの不正送金 ウイルス・ハッキングによるサイバー攻撃
6 悪意あるスマートフォンアプリ ウイルス・ハッキングによるサイバー攻撃
7 SNS への軽率な情報公開 インターネットモラル
8 紛失や設定不備による情報漏えい 内部統制・セキュリティマネジメント
9 ウイルスを使った詐欺・恐喝 ウイルス・ハッキングによるサイバー攻撃
10 サービス妨害 ウイルス・ハッキングによるサイバー攻撃
   
  2013
1 クライアントソフトの脆弱性を突いた攻撃
2 標的型諜報攻撃
3 スマートデバイスを狙った悪意あるアプリの横行
4 ウイルスを使った遠隔操作
5 金銭窃取を目的としたウイルスの横行
6 予期せぬ業務停止
7 ウェブサイトを狙った攻撃
8 パスワード流出の脅威
9 内部犯行
10 フィッシング詐欺
   
  2012  
1 機密情報が盗まれる!?新しいタイプの攻撃 ~情報窃取を目的とする標的型の諜報攻撃(APT)~
2 予測不能の災害発生!引き起こされた業務停止 ~自然災害や人為的災害による IT システムの故障、業務データの消失~
3 特定できぬ、共通思想集団による攻撃 ~社会変革をめざす共通的な思想を持つ集団による暴露・妨害攻撃~
4 今もどこかで…更新忘れのクライアントソフトを狙った攻撃 ~標的型攻撃にも悪用されるクライアントソフトの脆弱性~
5 止まらない!ウェブサイトを狙った攻撃 ~狙われ続けるウェブサイトの脆弱性~
6 続々発覚、スマートフォンやタブレットを狙った攻撃 ~狙われる小さなパソコン-スマートデバイス~
7 大丈夫!?電子証明書に思わぬ落し穴 ~電子証明書の管理不備により、引き起こされた問題~
8 身近に潜む魔の手・・・あなたの職場は大丈夫? ~組織内部・関係者による業務妨害や情報漏えい~
9 危ない!アカウントの使いまわしが被害を拡大! ~アカウント情報の管理不備が原因で発生するなりすまし被害~
10 利用者情報の不適切な取扱いによる信用失墜 ~利用者との結びつきが強い情報(利用者情報)の取扱いに関する問題~
   
  2011
1 「人」が起こしてしまう情報漏えい
2 止まらない!ウェブサイトを経由した攻撃
3 定番ソフトウェアの脆弱性を狙った攻撃
4 狙われだしたスマートフォン
5 複数の攻撃を組み合わせた新しいタイプの攻撃
6 セキュリティ対策丌備がもたらすトラブル
7 携帯電話向けウェブサイトのセキュリティ
8 攻撃に気づけない標的型攻撃
9 クラウド・コンピューティングのセキュリティ
10 ミニブログサービスや SNS の利用者を狙った攻撃
   
  2010
1 変化を続けるウェブサイト改ざんの手口
2 アップデートしていないクライアントソフト
3 悪質なウイルスやボットの多目的化
4 対策をしていないサーバ製品の脆弱性
5 あわせて事後対応を!情報漏えい事件
6 被害に気づけない標的型攻撃
7 深刻なDDoS攻撃
8 正規のアカウントを悪用される脅威
9 クラウド・コンピューティングのセキュリティ問題
10 インターネットインフラを支えるプロトコルの脆弱性
   
  2009
  ■組織への脅威
1 DNS キャッシュポイズニングの脅威
2 巧妙化する標的型攻撃
3 恒常化する情報漏えい
   ■利用者への脅威
1 多様化するウイルスやボットの感染経路
2 脆弱な無線 LAN 暗号方式における脅威
3 減らないスパムメール
4 ユーザ ID とパスワードの使いまわしによる危険性
   ■システム管理者・開発者への脅威
1 正規のウェブサイトを経由した攻撃の猛威
2 誘導型攻撃の顕在化
3 組込み製品に潜む脆弱性 
   
  2008
1 高まる「誘導型」攻撃の脅威
2 ウェブサイトを狙った攻撃の広まり
3 恒常化する情報漏えい
4 巧妙化する標的型攻撃
5 信用できなくなった正規サイト
6 検知されにくいボット、潜在化するコンピュータウイルス
7 検索エンジンからマルウェア配信サイトに誘導
8  国内製品の脆弱性が頻発
9 減らないスパムメール
10 組み込み製品の脆弱性の増加 
   
  2007
1 漏えい情報のWinnyによる止まらない流通
2 表面化しづらい標的型(スピア型)攻撃
3 悪質化・潜在化するボット
4 深刻化するゼロデイ攻撃
5 ますます多様化するフィッシング詐欺
6 増え続けるスパムメール
7 減らない情報漏えい
8 狙われ続ける安易なパスワード
9 攻撃が急増するSQLインジェクション
10 不適切な設定のDNSサーバを狙う攻撃の発生
   
  2006
1 事件化するSQLインジェクション
2 Winnyを通じたウイルス感染による情報漏えいの多発
3 音楽CDに格納された「ルートキットに類似した機能」の事件化
4 悪質化するフィッシング詐欺
5 巧妙化するスパイウェア
6 流行が続くボット
7 ウェブサイトを狙うCSRFの流行
8 情報家電、携帯機器などの組込みソフトウェアにひそむ脆弱性
9 セキュリティ製品の持つ脆弱性
10 ゼロデイ攻撃
   
  2004
1 ボット(botnet)の脅威
2 変化し続けるコンピュータウイルスの脅威
3 フィッシング詐欺の脅威
4 サーバからの情報漏えいの脅威
5 複数製品にまたがる脅威の増加
6 ウェブサイトの改ざんの脅威

 

Ipa_20230126142601

 


 

まるちゃんの情報セキュリティ気まぐれ日記

| | Comments (0)

2024.12.30

公安調査庁 サイバー空間における脅威の概況2024 (2024.12)

こんにちは、丸山満彦です。

こちら、見逃していました。。。最近毎年発行しています。。。

 

公安調査庁

・2024.12 [PDF] サイバー空間における脅威の概況 パンフレット  [downloaded]

20250322-133739

 

 


 

 ● まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.08 公安調査庁 サイバー空間における脅威の概況2023 (2023.05.25)

・2022.04.17 公安調査庁 サイバー空間における脅威の概況2022

 

| | Comments (0)

より以前の記事一覧