「またランサムウェアか…」

「セキュリティパッチはちゃんと当ててるよ」

なんて思って、ちょっと油断していませんか？

 

 

 

実は今、「認証情報（ID・パスワード）の詐取」が、

多くの企業を危機に追い込んでいます。

 

 

 

警察庁の統計を見てみても、

ランサムウェア被害の件数は高止まり…。

 

 

 

しかも、

侵入経路として多いVPNやリモートデスクトップサービス（RDS）機器について、

セキュリティパッチを当てていても侵入されてしまうケースが目立っています。

 

 

 

これはつまり、脆弱性対策だけでは防げない、

「別の入り口」が狙われている証拠。

 

 

その「別の入り口」こそが、私たちが日々使っている「ID・パスワード」です！

 

 

今回は、

特に注意が必要なヤバい攻撃手法、

「ClickFix（クリックフィックス）攻撃」

と

「インフォスティーラー」について、

現場目線で解説していきます。

---

 

🚨 現場で起きている２大脅威

 

 

1. 😈 巧妙化する「ClickFix（クリックフィックス）攻撃」

 

「フィッシング詐欺」は

メールやSMSで偽サイトに誘導し、パスワードを盗む手口です。

 

 

このClickFix攻撃は、

フィッシングをさらに巧妙化したものです。

 

 

ただ単にパスワードを盗むだけでなく、

「正規のWebサービスの設定や脆弱性を悪用」して、

より手強く、検知されにくい方法で攻撃を仕掛けてきます。

 

 

 

いつものサービスに見せかけた画面で、いつも通りパスワードを入力してしまった。

 

 

これで終わりではありません。

攻撃者はその認証情報を使って、すぐにシステムに侵入し、

次の攻撃の足がかりにしてしまうんです。

 

 

 

それはゼロデイ攻撃やな

 

 

 

【現場での対策ポイント！】

• 「いつもと違う…？」という違和感を、絶対に無視しない。
• ID・パスワードだけでなく、多要素認証（MFA）を徹底する。
  これだけで、パスワードが漏れても侵入の難易度が格段に上がります！

 

2. 🦹‍♂️ 潜伏型スパイ！「インフォスティーラー（情報窃取マルウェア）」

 

インフォスティーラーは、
名前の通り「情報を盗むマルウェア」です。

 

一度PCに侵入すると、
あなたのPCに保存されている様々な認証情報を根こそぎ盗み出します。

 

• ブラウザに保存されたID・パスワード
• Cookieやセッション情報（これがあると、ログイン状態を乗っ取れます！）
• 仮想通貨のウォレット情報

 

これらは、メールの添付ファイルや、
怪しいWebサイトからダウンロードしたファイルなど、様々な経路で侵入してきます。

気づかないうちに、あなたのPCが「認証情報の宝庫」になってしまうわけです。

 

【現場での対策ポイント！】

• 不審なメールの添付ファイルやリンクは絶対に開かない！
  （基本ですが、これが一番大事！）
• 不必要なパスワードをブラウザに保存しない習慣を身につける。
• セキュリティソフトを最新の状態に保ち、定期的なスキャンを欠かさない。

---

 

🔑 最低限、これだけはやってください！五月雨からの緊急提言

 

脆弱性へのパッチ適用はもちろん大切ですが、

「認証情報を守る」対策を今すぐ強化してください。

 

 

1. 多要素認証（MFA/2FA）の導入と徹底
2. 安易なID・パスワードは即変更（「password123」とかは今すぐNG！）
3. OS、ブラウザ、セキュリティソフトのアップデートをサボらない
   

特に、
VPNやRDSといった外部からのアクセス経路を持つシステムは、
真っ先に多要素認証を導入しましょう！

 

「うちの会社は大丈夫」という根拠のない自信が、一番のセキュリティホールです。

五月雨は、お客様の現場の安全を守るため、
具体的な対策の導入サポートを行っています。

 

 

---

🔐 御社の認証情報セキュリティ、今すぐチェックしませんか？

もし

「多要素認証ってどうやるの？」

「うちのパスワード管理ってこれで大丈夫？」といったご不安があれば、

ワタシがお手伝いします。

 

 

 

 

御社の認証情報対策について、無料でご相談に乗ることも可能です