Webメールサービスのアカウント情報を狙ったフィッシングの被害が増加

攻撃の流れや手法のイメージ図(JPCERT/CC)

　JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は16日、Webメールサービスのアカウント情報を標的としたフィッシングの被害が増加していることから注意喚起を行なった。

　攻撃者はサービス事業者になりすましたメールを送り、メール内のリンクにアクセスさせ、偽のログインページでメールアドレスやパスワードなどを入力/送信させることで、アカウント情報を騙して盗もうとする。

　メールアカウントが詐取されるとメールが盗み見られたり、アカウント情報が売買されるだけでなく、別のフィッシングメールを送るために使用されるなどの可能性もある。

　偽のログインページには自動で受信者のメールアドレスが入力されている場合があり、これは受信者に対して過去にログインしたページだと思わせる手法だという。

　フィッシングの対策としてメール内のリンクを安易にクリックしないことや、正しいドメイン名を確認するなどの徹底を推奨している。また被害を受けたと気が付いた時の対応として、詐取されたアカウントのパスワードを変更したり、同じフレーズを使い回している別サービスのパスワードも変更するほか、サービス事業者などへ連絡や相談をすることなどを挙げている。