米IRS(内国歳入庁)は、自動車ディーラーを標的にしたフィッシングキャンペーンに関する警告を発しました。IRSは、先月大手自動車販売ソフトウェアプロバイダーがランサムウェア攻撃の被害に遭ったことを受けて、自動車ディーラーは標的型のフィッシング攻撃に警戒する必要があると注意喚起しています。
IRSのリサーチャーは次のように述べています。
「自動車ディーラーを標的とした最近のランサムウェア攻撃を踏まえて、IRSでは個人や企業に対し、これらの攻撃に対する警戒を怠らないよう呼びかけています。サイバー攻撃者や個人情報を詐取する犯罪者は、メール受信者を騙して不審なリンクをクリックさせ、個人情報や金融情報を入力させたり、コンピューターにマルウェアファイルをダウンロードさせようとしたりします。サイバー攻撃者は機密性の高い金融情報や個人情報を詐取しようとし続けているため、IRSになりすます手口は依然として多く使用されています。IRSでは自動車ディーラーに対し、迷惑メールには特に注意し、不確かな場合は迷惑メールやテキスト内のリンクをクリックしないよう呼びかけています。」
また、サイバー攻撃者はディーラーが信頼する企業や組織の侵害されたメールアカウントを使用している可能性があることがIRSにより明らかになりました。これらのメールの送信元は信頼性が高いため、セキュリティフィルターを回避できます。したがって、ディーラーは疑わしいリクエストに注意する必要があります。
IRSによる警告では、次のように述べられています。
「正当な送信者や企業から送信されたように見えるメールであっても、実際には認証情報が詐取されたメールアカウントから送信されている場合があります。メールプロバイダーに二要素認証や多要素認証を設定することで、個人のメールアカウントが侵害されるリスクを軽減できます。信頼できる企業や友人、家族を装うことは、依然として個人や企業を狙うさまざまなサイバー攻撃者の常套手段です。個人や企業は、メールやテキストに記載された番号ではなく、個人的に把握している番号に電話をかけるなど、別の手段を用いて送信元を再確認する必要があります。」
IRSは、ユーザーがこのような攻撃の被害に遭わないようにするため、以下のアドバイスを提供しています。
- フィッシングやスミッシングには決して返信せず、URLリンクをクリックしない。
- 添付ファイルは開かない。添付ファイルにはコンピューターやスマートフォンに感染する悪質なコードが含まれている可能性があります。
- リンクをクリックしない。不審なメールやWebサイト内のリンクを誤ってクリックし、機密情報を入力してしまった場合は、IRSの個人情報保護ページにアクセスしてください。
- メールのヘッダー全体、またはメール本体をそのままphishing@irs.govに転送する。貴重な情報が失われるため、メールのスクリーンショットやスキャン画像は転送しないでください。
- 送信されたメールを削除する。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
詳細については、IRSの記事を参照してください。
原典:Stu Sjouwerman著 2024年7月16日発信 https://blog.knowbe4.com/irs-warns-phishing-targeting-car-dealerships