C
月内に
ハッカー集団ShinyHuntersにより、クルーズ船運営のCarnival(Holland America)およびケーブルテレビ業者のCharter…
📌 一言でいうと
ハッカー集団ShinyHuntersにより、クルーズ船運営のCarnival(Holland America)およびケーブルテレビ業者のCharter Communicationsから大規模な顧客データが窃取されました。Carnivalでは約600万人のデータが、Charterでは約4000万件の記録が流出したとされています。特にCharterの事例では、音声フィッシング(Vishing)を用いて従業員のMicrosoft Entraアカウントを奪取し、Salesforceからデータをエクスポートした手法が使われました。
🔍該当判定
- Carnival社のクルーズ船(Holland America等)を法人旅行や福利厚生で利用している
- Charter Communications社のケーブルテレビ・ネット回線サービスを契約している
- 社内でSalesforceを利用しており、かつMicrosoft Entra ID(旧Azure AD)で認証管理している
- 社員が電話でのなりすまし(音声フィッシング)によるアカウント奪取に遭うリスクがある環境である
上記いずれにも該当しない → 静観でOK
✅該当時の対応
多要素認証 (MFA) の徹底、特に音声フィッシングなどのソーシャルエンジニアリングに対する従業員教育の強化、および特権アカウントのアクセス監視の強化を推奨します。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】なりすまし電話(フィッシング)への警戒について
お疲れさまです。情報システム担当です。
最近、企業の従業員に電話をかけ、巧妙に騙してアカウント情報を盗み出す「音声フィッシング」による被害が報告されています。
ご協力をお願いしたいこと:
1. 電話でパスワードや認証コード、ログイン情報を求められた場合は、絶対に教えないでください。
2. 不審な電話を受けた際は、すぐに上司または情報システム担当まで報告してください。
3. 会社指定の認証アプリや多要素認証の設定を正しく運用してください。
対応期限: 本日中(意識の徹底をお願いします)
お疲れさまです。情報システム担当です。
最近、企業の従業員に電話をかけ、巧妙に騙してアカウント情報を盗み出す「音声フィッシング」による被害が報告されています。
ご協力をお願いしたいこと:
1. 電話でパスワードや認証コード、ログイン情報を求められた場合は、絶対に教えないでください。
2. 不審な電話を受けた際は、すぐに上司または情報システム担当まで報告してください。
3. 会社指定の認証アプリや多要素認証の設定を正しく運用してください。
対応期限: 本日中(意識の徹底をお願いします)
Subject: [Security Alert] Beware of Vishing (Voice Phishing) Attacks
Dear employees,
We are seeing an increase in "vishing" attacks, where attackers call employees and impersonate IT or company staff to steal login credentials.
What we need from you:
1. Never share your password, MFA codes, or login credentials over the phone, regardless of who the caller claims to be.
2. Report any suspicious phone calls to your manager or the IT security team immediately.
3. Ensure you are following all company multi-factor authentication (MFA) protocols.
Deadline: Immediate (Please remain vigilant)
Dear employees,
We are seeing an increase in "vishing" attacks, where attackers call employees and impersonate IT or company staff to steal login credentials.
What we need from you:
1. Never share your password, MFA codes, or login credentials over the phone, regardless of who the caller claims to be.
2. Report any suspicious phone calls to your manager or the IT security team immediately.
3. Ensure you are following all company multi-factor authentication (MFA) protocols.
Deadline: Immediate (Please remain vigilant)