B
今週中
不動産大手のCushman & Wakefieldが、vishing(音声フィッシング)によるデータ漏洩被害を確認しました
📌 一言でいうと
不動産大手のCushman & Wakefieldが、vishing(音声フィッシング)によるデータ漏洩被害を確認しました。攻撃者はShinyHuntersとQilinの2つのサイバー犯罪グループであるとされており、それぞれが個別に脅迫を行ったとのことです。同社は現在、外部専門家の協力を得て封じ込めと調査を進めています。
ℹ️ これは他社で発生した事案の情報です。貴社が当該サービスを利用していない場合は、参考情報としてご確認ください。同様の攻撃手法に対する備えのきっかけとしてもご活用いただけます。
🏢影響範囲
不動産業界、および社会工学的な攻撃(vishing)への対策が不十分な組織
✅該当時の対応
電話による個人情報や認証情報の提供を禁止するポリシーの徹底、および従業員へのvishing(音声フィッシング)対策トレーニングの実施を推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】電話によるなりすまし詐欺(vishing)への注意について
お疲れさまです。情報システム担当です。
最近、電話で社員になりすましてパスワードや機密情報を聞き出そうとする「vishing(音声フィッシング)」による被害が報告されています。
ご協力をお願いしたいこと:
1. 電話でパスワード、二要素認証コード、個人情報を求められた場合は、絶対に教えないでください。
2. 不審な電話を受けた場合は、すぐに切断し、社内のセキュリティ担当窓口へ報告してください。
3. 相手が社内の人間を名乗っていても、一度電話を切り、公式な連絡手段(チャットやメール)で本人に確認してください。
対応期限: 本日中(周知徹底をお願いします)
お疲れさまです。情報システム担当です。
最近、電話で社員になりすましてパスワードや機密情報を聞き出そうとする「vishing(音声フィッシング)」による被害が報告されています。
ご協力をお願いしたいこと:
1. 電話でパスワード、二要素認証コード、個人情報を求められた場合は、絶対に教えないでください。
2. 不審な電話を受けた場合は、すぐに切断し、社内のセキュリティ担当窓口へ報告してください。
3. 相手が社内の人間を名乗っていても、一度電話を切り、公式な連絡手段(チャットやメール)で本人に確認してください。
対応期限: 本日中(周知徹底をお願いします)
Subject: [Security Alert] Beware of Voice Phishing (Vishing) Attacks
Dear colleagues,
We would like to alert you to a rise in "vishing" (voice phishing) attacks, where attackers call employees pretending to be company staff to steal passwords or sensitive information.
What we need you to do:
1. Never share your passwords, MFA codes, or personal information over the phone.
2. If you receive a suspicious call, hang up immediately and report it to the IT security team.
3. Even if the caller claims to be a colleague, verify their identity through official channels (chat or email) before sharing any information.
Deadline: Immediate action required.
Dear colleagues,
We would like to alert you to a rise in "vishing" (voice phishing) attacks, where attackers call employees pretending to be company staff to steal passwords or sensitive information.
What we need you to do:
1. Never share your passwords, MFA codes, or personal information over the phone.
2. If you receive a suspicious call, hang up immediately and report it to the IT security team.
3. Even if the caller claims to be a colleague, verify their identity through official channels (chat or email) before sharing any information.
Deadline: Immediate action required.
件名: 【共有】vishing(音声フィッシング)によるデータ侵害事例について
お疲れさまです。Cushman & Wakefield社におけるデータ侵害事例に関する情報共有です。
■ 概要
攻撃者がvishing(音声フィッシング)を用いて従業員を社会工学的に操作し、認証情報を奪取したことでデータ漏洩が発生しました。ShinyHuntersおよびQilinという2つの犯罪グループが関与しているとされており、二重の脅迫が行われた特異なケースです。
■ 影響範囲
- 社会工学的な攻撃(特に電話)に対する防御が不十分な組織
- MFA(多要素認証)のプッシュ通知を不用意に承認する運用環境
■ 対応手順
1. 従業員に対し、電話での認証情報提供を禁止するセキュリティ意識向上トレーニングを実施する。
2. MFAの運用を見直し、プッシュ通知(Push)から番号一致(Number Matching)方式への変更を検討する。
3. 不審な電話の報告ルートを明確化し、迅速なアカウント停止措置を可能にする。
■ 参考情報
- The Register 記事: Real estate giant confirms vishing incident as ShinyHunters and Qilin both come knocking
対応優先度: 中
対応期限: 今週中
お疲れさまです。Cushman & Wakefield社におけるデータ侵害事例に関する情報共有です。
■ 概要
攻撃者がvishing(音声フィッシング)を用いて従業員を社会工学的に操作し、認証情報を奪取したことでデータ漏洩が発生しました。ShinyHuntersおよびQilinという2つの犯罪グループが関与しているとされており、二重の脅迫が行われた特異なケースです。
■ 影響範囲
- 社会工学的な攻撃(特に電話)に対する防御が不十分な組織
- MFA(多要素認証)のプッシュ通知を不用意に承認する運用環境
■ 対応手順
1. 従業員に対し、電話での認証情報提供を禁止するセキュリティ意識向上トレーニングを実施する。
2. MFAの運用を見直し、プッシュ通知(Push)から番号一致(Number Matching)方式への変更を検討する。
3. 不審な電話の報告ルートを明確化し、迅速なアカウント停止措置を可能にする。
■ 参考情報
- The Register 記事: Real estate giant confirms vishing incident as ShinyHunters and Qilin both come knocking
対応優先度: 中
対応期限: 今週中
Subject: [Threat Intel] Data Breach via Vishing at Cushman & Wakefield
Dear Security Team,
This is a technical update regarding a recent data breach at Cushman & Wakefield.
■ Overview
Attackers utilized vishing (voice phishing) to socially engineer employees and gain unauthorized access. Notably, two separate threat actors, ShinyHunters and Qilin, claimed responsibility, indicating the organization was targeted by multiple criminal groups simultaneously.
■ Scope of Impact
- Organizations lacking robust social engineering defenses.
- Environments relying on simple MFA push notifications susceptible to MFA fatigue/vishing.
■ Recommended Actions
1. Conduct targeted security awareness training focusing on vishing and social engineering.
2. Evaluate and transition from MFA push notifications to more secure methods like Number Matching.
3. Review and strengthen the incident reporting pipeline for suspicious communications.
■ Reference
- Source: The Register
Priority: Medium
Deadline: End of week
Dear Security Team,
This is a technical update regarding a recent data breach at Cushman & Wakefield.
■ Overview
Attackers utilized vishing (voice phishing) to socially engineer employees and gain unauthorized access. Notably, two separate threat actors, ShinyHunters and Qilin, claimed responsibility, indicating the organization was targeted by multiple criminal groups simultaneously.
■ Scope of Impact
- Organizations lacking robust social engineering defenses.
- Environments relying on simple MFA push notifications susceptible to MFA fatigue/vishing.
■ Recommended Actions
1. Conduct targeted security awareness training focusing on vishing and social engineering.
2. Evaluate and transition from MFA push notifications to more secure methods like Number Matching.
3. Review and strengthen the incident reporting pipeline for suspicious communications.
■ Reference
- Source: The Register
Priority: Medium
Deadline: End of week