EUを中心に5月25日に個人データ・プライバシーの保護を企業などに義務付ける「一般データ保護規則(GDPR)」が全面施行される。この動きはサイバー犯罪者にとって格好のネタになると見られ、GDPRへの対応を進める企業などになりすましたフィッシング攻撃の拡大が懸念されている。
ドイツのセキュリティソフト企業のAviraは、「サイバー犯罪はトレンドに便乗するものだ」と指摘。個人情報やクレジットカード情報などを不正に入手しようと試みる犯罪者にとって、GDPRは相手をだます手軽なネタになると解説している。
GDPRへの対応を進める企業では、例えば、オンラインサービスの顧客に対して自社の情報保護ポリシーの変更あるいは情報の取り扱いに関する同意などを通知したり、要求したりすることがある。
サイバー犯罪者もこうした取り組みを模倣し、実在する企業の名前などを使って偽のメールなどでこうしたメッセージを送り付け、詐称した企業のウェブサイトに似せた詐欺サイトに誘導して情報を入力させたり、リンクのクリックや添付ファイルの開封によってマルウェアに感染させたりしようとする。また、セキュリティ侵害を検知したといった文言を使い、相手に危機感を抱かせることで、フィッシングと気づきにくくさせるような巧妙な手口も用いる。
Aviraが発見したAirbnbのGDPR対応になりすますフィッシングメール(出典:Avira)
Aviraは、既にAppleやPayPal、Airbnbといった著名なオンラインサービスになりすますフィッシングメールを検知しているといい、こうしたメッセージを受け取っても慌てることなく削除して、リンクをクリックしないことが安全につながると解説する。
こうしたフィッシングのメールやメッセージの被害を回避するポイントとして、(1)スペルミスなど内容に不自然な点を見つけること、(2)安易にリンクをクリックしないこと、(3)リンク先のURLの文字列が正規のリンク先に似せていないか確認すること――を挙げている。
