世界最大の許可制メール配信事業者であるEpsilonは、自社のサーバーへの攻撃により、数百万件のメールアドレスが流出したことを明らかにしました。他の情報は漏洩していないようですが、セキュリティ専門家は、より精密なスピアフィッシング攻撃の急増に備えるようユーザーに警告しています。
Epsilonは、2,500社を超える顧客のために、年間400億通以上のマーケティングメールを送信しています。これらのメールは、Rustockボットネットにおけるスパムとは区別されません。JPモルガン・チェース、キャピタル・ワン、シティグループなどの大手クライアントからのマーケティングメールや顧客コミュニケーションメールです。
nCircleのセキュリティオペレーション担当ディレクターのアンドリュー・ストームズ氏は、「Epsilonが公開したリストは、営業プレゼンテーションで最も印象に残った顧客のスライドのように見えるため、あなたやあなたの知り合いが影響を受けたことは間違いありません」とコメントしています。
Epsilon のデータ侵害についてわかっていることと、攻撃の結果として生じたあらゆる影響から身を守るために今何をする必要があるかを見てみましょう。
どうしたの?
Epsilonからのプレスリリースは簡潔で、Epsilonは追加の詳細についてあまり積極的に発表していません。幸いなことに、Epsilonは侵害を迅速に検知し、顧客への通知に時間を無駄にしませんでした。その後、顧客は個々のユーザーとすぐに連絡を取りました。私は本日、影響を受けた金融機関から既に2通のメールを受け取りました。
ESETの技術教育ディレクター、ランディ・エイブラムス氏は、「侵害がどのように発生したか、詳細はまだ把握していません。SQLインジェクション攻撃の可能性は十分に考えられますが、あくまで推測に過ぎません。どのように発生したかは、過失訴訟を起こす弁護士にとってのみ重要になるでしょう。」と述べています。
リスクとは何ですか?
侵害によって漏洩したのはメールアドレスのみで、個人情報やアカウント情報の追加情報は漏洩しなかったという事実は朗報です。最大のリスクは、攻撃者がスパム攻撃やフィッシング攻撃の標的として、検証済みのアクティブなメールアドレス数百万件のリストを入手したことです。
攻撃者がメールアドレスだけでなく、Epsilonの顧客との関係性も把握できれば、より精度の高いスピアフィッシング攻撃が可能になります。フィッシングは網を投げるようなものです。スピアフィッシングは特定のドメインや企業に狙いを絞ります。しかし、これらの攻撃は、攻撃でなりすまされている企業と関係があることが分かっている既知のメールアドレスに向けられることになります。これは、レーザー照準とコンピュータ誘導テレメトリを用いたスピアフィッシングに近いと言えるでしょう。
Qualysの脆弱性ラボマネージャー、アモル・サワルテ氏は次のように説明しています。「今回の侵害で最も懸念されるのはフィッシング詐欺です。ハッカーは、Epsilonの顧客である銀行、薬局、ホテルなどの企業を装った偽メールを送信する可能性があります。攻撃者は顧客の名前と取引先の企業情報を入手しているため、偽メールは本物に見え、説得力を持つものになります。メールは、何も知らないユーザーにリンクをクリックさせ、クレジットカード番号の入力を要求したり、マルウェアを実行したり、スパイウェアをインストールしたり、その他の攻撃を実行したりする可能性があります。」
Esetのエイブラムス氏はさらにこう付け加えた。「現在、取引のない金融機関から、口座に問題があるというメールが届いた場合、それは明らかにフィッシング攻撃です。しかし、フィッシング詐欺師が金融機関と顧客を結び付けることができれば、はるかに説得力のある言い掛かりを作ることができ、成功率も大幅に高まることはほぼ間違いないでしょう。」
どうすれば自分を守れるでしょうか?
Invinceaの創設者兼チーフサイエンティストであるアヌップ・ゴーシュ氏は、電子メールは原則として信頼できる通信手段ではないことをユーザーに強く警告しています。電子メールは簡単に偽造またはなりすましされ、まるで別の組織から送信されたかのように見せかけることができます。「ベストバイやシティからの電子メールを偽造するのはそれほど難しくありません。リンク先のウェブサイトも偽造可能です。ウェブサイトはシティのウェブサイトと全く同じように見えても、実際にはサイバー犯罪者の管理下にある偽造ウェブサイトである可能性があります。」
ストームズ氏は、「消費者はいつも以上に警戒する必要があります。たとえ知っている企業からのリンクであっても、クリックする前に二度三度よく考えることが重要です」と警告しています。
SystemExpertsのコンサルティング担当副社長、リチャード・E・マッキー・ジュニア氏は、IT管理者が環境全体を保護するために活用できる追加の洞察を提供しています。「企業はスパムフィルターを設定して、疑わしいメールを検出することができます。また、管理者はウイルス対策企業などのセキュリティ企業からの発表を常に把握し、ハッカーが盗んだ情報を悪用しようとする可能性のある攻撃の兆候を常に把握しておく必要があります。」
スピアフィッシング攻撃の急増は避けられないと思われます。ユーザーは、普段以上にメールに対して慎重な警戒心を持つ必要があります。たとえメールを送信したとされる企業の顧客であっても、またメールが本物らしく見えても、決して信じてはいけません。
エイブラムス氏は、ユーザーに対して次のような賢明なアドバイスをまとめています。「メール内のリンクからウェブサイトにログインしたり、メールに返信してパスワードやPIN、その他の金融情報を送信したりしなければ、ほぼすべてのフィッシング攻撃を簡単に撃退できます。」
