不正利用
インターネット上のサービスを悪用した攻撃
脅威概要
正規のサイトに表示される広告や、正規のサービスをコマンド&コントロールサーバー(C&C:ウイルスに感染しているPCに対して命令するサーバー)として動作させて、不正な動作やウイルスとの通信に悪用する等、インターネット上でサービスとして提供されている機能や仕組みを隠れみのとする攻撃 正規のサービスを利用していることから、利用者側の対策が難しく、サービス提供ベンダー側での対策が求められる
事例
■音楽配信サービス「Spotify」の無料版に不正広告
| ・ | ブラウザ上に不審なポップアップが表示され、トロイの木馬がダウンロードされる等の被害 |
■無料オンライン画像共有サービス「Imgur」を悪用してC&C通信
| ・ | ウイルス感染によりPC内のデータをPNG形式の画像ファイルに加工し画像共有サービスにアップロード |
| ・ | ウイルスを検出されにくくする手法として利用したと考えられる |
対策(自己を守る方法)
インターネット上のサービスを悪用した攻撃は、ウェブサイトを利用している最中に普段見ないようなポップアップ広告などが表示されてもクリックしたり、個人情報を入力しないことで被害を予防できます。
これはサービス提供側が攻撃を受けてしまっていることが原因で起こるため、利用者側がそれに気づけるような情報リテラシーを持つことも必要です。
インターネットバンキングやクレジットカード情報の不正利用
脅威概要
クレジットカード会社や銀行からのお知らせのふりをしたメールをユーザに送りつける。「情報確認のため」 などと称して巧みにリンクをクリックさせ、あらかじめ用意した本物のサイトにそっくりな偽サイトにユーザを誘導する。そこでクレジットカード番号や口座番号などを入力するよう促し、入力された情報を盗み取る。参考:フィッシング詐欺協議会
事例
■VISAカードの暗証番号を入力させようとするフィッシングメール
| ・ | ビザ・インターナショナルを騙ってURLにアクセスさせ、カード情報を盗み取ろうとするもの。 「VISA認証サービス」のURLを記載したHTMLメールで、URL部分には偽サイトへアクセスするためのURLが埋め込まれている。暗証番号が悪用されるおそれがある。参考:フィッシング詐欺協議会 |
対策(自己を守る方法)
銀行やクレジット会社からのメールで、口座番号や暗証番号がたずねられる場合はフィッシング詐欺の疑いがあります。
メールのリンクからではなく、正式なサイトのURLを直接入力してサイトを開きましょう。
その他具体的な事例はこちら
