Malwarebytesのリサーチャーによると、Instagramユーザーを標的にしたフィッシングキャンペーンが確認されています。このキャンペーンでは通常のURLではなく「mailto」リンクが使われており、フィッシングメールがセキュリティフィルターで検出されにくくなっています。
Malwarebytesは次のように説明しています。「この種のメールでは通常、フィッシングサイトへのリンクが含まれますが、今回のキャンペーンでは、mailtoリンクが使用されていました。mailtoリンクをクリックすると、既定のメールソフトが起動し、あらかじめ宛先と件名が設定されたメールが開かれます。件名は『アカウントを保護するためこのユーザーを報告する』または『このアカウントからメールアドレスを削除する』となっています。これらのリンクに含まれるメールアドレスには、正規のものに似せた、一見不審に見えないドメインが使われていました。」
Malwarebytesは、ユーザーが被害に遭わないよう次のアドバイスを示しています。
- メール内のリンク先を必ず確認してください。たとえドメインが正規に見えても、Instagramのアカウントの運用者はgmailアドレスを使用しているはずはありません。正規の管理者は、InstagramまたはMetaに属するメールアドレスを使用しています。
- 正規の企業が、アカウント詳細、認証情報、その他の機密情報をメールで送るよう求めることはありません。
- メールで緊急の対応を迫られた場合は、返信する前に一度立ち止まりましょう。これは、考える前に行動させるための典型的な手口です。
- 警告に少しでも不審な点があるなら、返信しないでください。メールを送ってしまうと、そのアドレスが有効だと攻撃者に知らせることになり、さらに標的にされやすくなります。
- 受け取ったメールについて、同様の攻撃が報告されていないか検索するのも有効です。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティ文化の形成につなげています。また、万が一の事態に備えるための実践的なガイドとして、ランサムウェア救出マニュアルも提供しています。
詳細については、Malwarebytesの記事を参照してください。
原典:KnowBe4 Team著 2025年8月5日発信 https://blog.knowbe4.com/warning-new-phishing-campaign-targets-instagram-users