最近の報道によると、GoogleのSalesforceプラットフォームを標的としたヴィッシング(音声フィッシング)攻撃により、大規模なデータ侵害が発生したことが明らかになりました。このインシデントではユーザーのパスワードは侵害されませんでしたが、より巧妙なフィッシングやヴィッシングの手口につながる可能性のある重要な情報が盗まれました。以下では、情報保護のために実行できる重要な対策について概説します。
データ侵害を理解する
この侵害では、攻撃者はソーシャルエンジニアリングの手法を駆使したヴィッシング攻撃を行い、Google Salesforceの従業員に悪意のあるアプリケーションへの一時的なアクセスを許可させました。このアクセスにより、ハッカーは企業名や顧客名、連絡先情報、関連メモなどの機密情報を入手しました。
実際のパスワードは安全ですが、取得したデータは、特に通常の法人顧客にとってリスクとなり、その後の攻撃の標的となる可能性があります。さらに、Salesforceを狙った同様の侵入が急増している兆候があり、盗まれたデータがより広範な不正行為に利用される可能性があることを示唆しています。
セキュリティを強化する方法:Googleの推奨事項
今回の情報漏洩を受け、Googleはフィッシング攻撃への対策を強化するため、複数のセキュリティ対策を導入しました。これらのガイドラインに従うことで、Googleアカウントのセキュリティを強化できます。
- Google セキュリティ診断を実施する: Google のセキュリティ診断ツールを使用してアカウントを確認します。このツールでは、最近のアクティビティ、接続されたデバイス、パスワードの潜在的な脆弱性を評価します。
- 高度な保護機能プログラムにご参加ください。Googleは、重要なユーザーに最適な高度な保護機能プログラムを提供しています。このプログラムは、ハードウェア セキュリティ キーの使用を含む厳格なセキュリティ プロトコルを採用しています。セキュリティを大幅に強化したい場合は、このプログラムへの登録をご検討ください。
- パスキーまたはハードウェアセキュリティキーを活用する: Googleは、従来の2要素認証(2FA)方式の代わりにパスキーの使用を推奨しています。パスキーはパスワードを必要とせず、傍受の可能性を低減するため、セキュリティを強化します。最適な保護のためには、信頼できるハードウェアセキュリティキーへの投資をお勧めします。
これらの戦略を実装すると、侵入が試みられた場合でも、アカウント乗っ取りのリスクが大幅に軽減されます。
迷惑なコミュニケーションには注意してください
機密情報が悪意のある人物の手に渡ると、彼らはあなたの名前や会社名などの個人情報を使って、信頼できる人物であるかのように見せかけ、連絡を取ろうとする可能性があります。こうした試みは、メール、SMS、電話などを通じて行われ、コードやパスワードの開示、あるいはリクエストの承認を迫る場合があります。
迷惑な連絡を受けた場合は、細心の注意を払ってください。たとえそれが本物に見えても、機密情報の提供や見慣れないリンクのクリックは絶対に避けてください。
接続されたアプリケーションを評価する
Google Salesforce をめぐるインシデントは、悪意のあるアプリケーションがもたらすリスクを浮き彫りにしました。管理者権限をお持ちの場合は、接続されたアプリを精査し、不正または信頼できないアプリケーションがアカウントへのアクセスを許可されていないことを確認することが不可欠です。
接続されているアプリを確認するには、Googleアカウント設定に移動し、「セキュリティ」 → 「サードパーティ製アプリとサービスへの接続」を選択してください。見覚えのないアプリを見つけた場合は、すぐにアクセスを削除してください。
アカウント回復オプションの強化
攻撃者は、アカウント復旧プロセスを悪用して不正アクセスを行うことがよくあります。個人情報を利用して確立された、安全性の低い復旧チャネルを狙う場合もあります。例えば、安全でない復旧用メールが、メインアカウントへの入り口となる可能性があります。
復旧方法を強化するには、 Googleアカウント設定の「セキュリティ」セクションを確認し、復旧用のメールアドレスと電話番号が最新の状態であり、アクセス可能であることを確認してください。これらの復旧オプションが、メインアカウントと同じ厳格なセキュリティ対策を維持していることを確認してください。
2FAリカバリーコードを保存する際は、メモアプリなどの安全でない保存方法は避けてください。暗号化されたパスワードマネージャーを使用するか、印刷したコードを安全に保管してください。リカバリーコードを他人に教えないでください。正規の企業が直接この情報を要求することはありません。
Passkeysなどの最新のセキュリティ対策を導入することで、今回の事件に起因するハッキング攻撃のリスクを大幅に軽減できます。アカウントを保護するために、攻撃者が仕掛ける一般的な罠には十分ご注意ください。フィッシング詐欺によってGoogleアカウントにアクセスできなくなってしまった場合は、アカウント復旧ガイドをご参照ください。
コメントを残す