EU一般データ保護規則(European Union’s General Data Protection Regulation、以下「GDPR」)を口実にしたフィッシングメールを使って、ユーザの個人情報をだまし取ろうとするフィッシング詐欺が横行していることがサイバーセキュリティー企業の調べで明らかになりました。
RedScan(管理型脅威検知ソリューションを提供するサイバーセキュリティ企業)のリサーチャーが偶然フィッシングメールを受信しました。それは、Airbnb(エアビーアンドビー)を装ったなりすましメールで、正規ドメイン名の「@airbnb.com」とは別の、偽装したドメイン名「@mail.airbnb.work」を使い、Airbnbに登録するホスト宛に送信されたもので、内容はGDPRの発効に伴い、新たなプライバシーポリシーに同意しない限り新規予約の受け付けやメッセージ送信サービスが利用できなくなるというものでした。以下に、ZDNetの記事から、実際のメール本文を抜粋します。
EUのインターネット上の個人情報保護法の変更に伴い、米国を拠点とする企業、例えばAirbnbは、欧州地域の住民と企業の個人情報を保護することが義務付けられました。
本文に記載されたリンクをクリックすると、偽サイトに誘導され、アカウント情報とクレジットカード情報に加えて、必要な個人情報を入力するよう促されます。
ZDNetによると、Airbnbは確かに登録するホストに対して、GDPRに関連したメッセージを送付していますが、それはあくまで利用規約更新への合意を求めるもので、利用者にアカウント情報の提供を求めるものではありませんでした。この対策として、コミュニティ主導の宿泊施設を提供するAirbnbは、ユーザに対し、疑わしいメールを受信した場合、同社の「トラスト&セーフティ」に届け出るよう広く注意を呼びかけています。
Mark Nicholls氏(Redscanサイバーセキュリティダイレクター)がZDNetに伝えたところでは、こうしている間にも、ウェブ上では、GDPRを口実とした様々な攻撃が行われるだろうとした上で、次のように述べています。
GDPR規制の実行期限が迫る中、この手のフィッシングメールが、今後数週間の内に著しく増大することは明らかです。今回のAirbnbのケースでは、アカウント情報を盗み取る手口として、なりすましメールが使われていましたが、攻撃経路は様々です。例えば、キーロガーやランサムウェアなどを使った手口で、ユーザのパソコンを感染させるといった攻撃も十分に考えられます。
こういった攻撃から身を守る為には、代表的なフィッシング詐欺の手口について十分に理解し、ランサムウェア感染の防止策を実施する必要があります。
2018年5月2日アップデート:本記事掲載後、Airbnbの広報マネージャーから、以下の声明をシェアしてほしいとの連絡を受けました。
当社を装ったこういったフィッシングメールは、我々の信頼高いブランド力を悪用し、ユーザ情報を窃取しようとするもので、本件とAirbnbは一切関係がありません。疑わしいメールを受信した場合は、当社窓口「トラスト&セーフティ:report.phishing@airbnb.com」までご連絡下さるようお願い致します。ご連絡頂いた案件は、詳細な調査を実施します。また、当社ヘルプセンターでは、偽装メールの見分け方について情報を掲載しています。本件の対策として当社は、外部パートナーと連携し、偽のAirbnbサイトの通報と削除に取り組んでいます。
続けて同社はこの呼びかけの中で、ユーザに対し、攻撃者がこのメール送信以前にユーザの個人情報にアクセスした事実はないと保証しています。また、メールが本物であるかどうかは、差出人のアドレスをAirbnbの公式エイリアス一覧と照らし合わせれば確認が可能なこと、またURL上にマウスポインタを置いて転送先のサブドメンがAirbnb.comであることを確認するよう、ユーザに注意喚起を促しています。
