🔥 この記事の詳細
2026-05-06 更新
B
今週中

不動産大手のCushman & Wakefieldが、vishing(音声フィッシング)によるデータ漏洩被害を確認しました

事案🌐 英語ソース🏢 他社事案
📅 2026-05-06📰 theregister
📌 一言でいうと
不動産大手のCushman & Wakefieldが、vishing(音声フィッシング)によるデータ漏洩被害を確認しました。攻撃者はShinyHuntersとQilinの2つのサイバー犯罪グループであるとされており、それぞれが個別に脅迫を行っていました。同社はインシデント対応プロトコルを有効化し、外部専門家の支援を受けて調査と封じ込めを進めています。
ℹ️ これは他社で発生した事案の情報です。貴社が当該サービスを利用していない場合は、参考情報としてご確認ください。同様の攻撃手法に対する備えのきっかけとしてもご活用いただけます。
🔍該当判定
  • 電話で「ITサポート」や「社外の業者」を名乗る人物から、パスワードや認証コードを聞き出そうとされる機会がある
  • 社員が社外から電話で指示を受け、PCの設定変更やログイン操作を行う運用がある
  • 多要素認証(SMSやアプリでの認証)を導入しているが、そのコードを口頭で伝える運用になっている
上記いずれにも該当しない → 静観でOK
該当時の対応
電話による個人情報や認証情報の聞き出し(vishing)に対する従業員教育の徹底、および多要素認証(MFA)の強化を推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】電話によるなりすまし詐欺(Vishing)への警戒について

お疲れさまです。情報システム担当です。
最近、大手企業において、電話で社員に接触し、機密情報を盗み出す「vishing(音声フィッシング)」による被害が発生しています。

ご協力をお願いしたいこと:
1. 知らない電話番号や、社内の人間を名乗る不審な電話で、パスワードや認証コードを聞かれた場合は絶対に教えないでください。
2. 不審な電話を受けた際は、すぐに切断し、社内のセキュリティ担当窓口へ報告してください。

対応期限: 本日中(周知徹底をお願いします)
Subject: [Security Alert] Beware of Voice Phishing (Vishing) Attacks

Dear colleagues,

We would like to alert you to a recent increase in "vishing" (voice phishing) attacks, where attackers call employees pretending to be colleagues or IT support to steal sensitive information.

What we need from you:
1. Never share your passwords, MFA codes, or sensitive company data over the phone, even if the caller claims to be from within the company.
2. If you receive a suspicious call, please hang up immediately and report it to the IT security team.

Deadline: Immediate (Please review this notice today)
件名: 【共有】Vishingによるデータ侵害事例(Cushman & Wakefield)について

お疲れさまです。Vishing(音声フィッシング)を起点としたデータ侵害事例に関する情報共有です。

■ 概要
不動産大手Cushman & Wakefieldが、ShinyHuntersおよびQilinという2つのアクターから個別に脅迫を受け、調査した結果、vishingによる不正アクセスが確認されました。攻撃者は社会工学的手法を用いて認証情報を奪取し、内部ネットワークへ侵入したと考えられます。

■ 影響範囲
- 組織内の認証済みアカウントおよび機密データ

■ 対応手順
1. 電話ベースの社会工学的手法に対する従業員トレーニングの再実施
2. 電話による認証リセット等の運用フローの見直し(多要素認証の強制適用)
3. 不審なログイン試行の監視強化

■ 参考情報
- The Register 記事

対応優先度: 中
対応期限: 今週中
Subject: [Intel] Data Breach via Vishing at Cushman & Wakefield

Dear Security Team,

This is a technical update regarding a recent data breach at Cushman & Wakefield attributed to vishing (voice phishing).

■ Overview
Two threat actors, ShinyHunters and Qilin, separately claimed responsibility for the breach. The initial access vector was identified as vishing, indicating that social engineering was used to bypass authentication or harvest credentials from an employee.

■ Scope of Impact
- Compromised employee credentials and potential unauthorized access to sensitive corporate data.

■ Recommended Actions
1. Conduct targeted security awareness training focusing on voice-based social engineering.
2. Review and harden identity verification processes for password resets or MFA bypass requests.
3. Enhance monitoring for anomalous login patterns following suspected social engineering attempts.

■ Reference
- The Register article

Priority: Medium
Deadline: End of week
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-06 のまとめ🔍 記事を検索