【注意】「Chromiumブラウザの脆弱性対応」を装うフィッシングメールに注意!偽アップデートサイトへ誘導する手口を確認
企業の情報システム部や情報セキュリティ部を装った不審なメールが確認されています。
メールでは、「Google ChromeやMicrosoft Edgeに重大な脆弱性が発見された」「本日中にアップデートが必要」などと説明し、受信者を外部サイトへ誘導しようとしています。
⚠ フィッシング・マルウェア感染に注意 ⚠
件名:【重要】Chromiumブラウザの脆弱性(0-day)に伴う緊急アップデート対応のお願い
今回確認されたメールの内容は以下の通りです。
件名:【重要】Chromiumブラウザの脆弱性(0-day)に伴う緊急アップデート対応のお願い
社員の皆様へ
お疲れ様です。情報セキュリティ部です。
現在、業務で使用しているChromium系ブラウザ(Google Chrome / Microsoft Edge)において、既に悪用が確認されている重大な脆弱性(0-day)が発見されました。
本日中にPCのブラウザ環境を最新の状態に更新する必要があります。
以下の社内特設ページにアクセスし、手順に従ってパッチの適用(アップデートの確認)を完了させてください。
https://vapotusifi.z1.web.core.windows.net/
※本対応は、本日20:00までに必ず実施をお願いいたします。
ご協力のほど、よろしくお願いいたします。
一見すると社内の情報セキュリティ部から送られた正当な案内に見えますが、複数の不審な点が確認できます。
このメールが怪しい理由
- 送信元情報が不明
- 社内システムではなく外部URLへ誘導している
- 「0-day脆弱性」「本日中」「20時まで」など緊急性を強調している
- ChromeやEdgeの更新は通常ブラウザ内で実施できる
- 不審なファイルのダウンロードを促す可能性がある
実際の企業を狙う攻撃では、「セキュリティ更新」「緊急パッチ」「アカウント保護」などを口実に偽サイトへ誘導し、マルウェアを感染させるケースが多数確認されています。
ChromeやEdgeのアップデートは、ブラウザの設定メニューから公式機能で実施できます。メール内のURLから更新する必要はありません。
■ 想定される被害
- マルウェア感染
- 情報窃取型ウイルスのインストール
- 社内アカウントの認証情報漏洩
- ランサムウェア感染
- 端末の遠隔操作被害
■ 対処方法
- メール内のURLをクリックしない
- ファイルをダウンロードしない
- ブラウザ更新は公式機能から実施する
- 社内の情報システム部へ確認する
- 不審なメールは削除する
万が一、リンク先でファイルをダウンロードしたり実行したりした場合は、直ちにネットワークから切り離し、情報システム担当者へ報告してください。
「ブラウザ脆弱性対応」や「緊急アップデート」を理由に外部サイトへ誘導するメールには十分注意してください。アップデートは必ず公式機能から実施しましょう。
関連キーワード:Chromium 脆弱性 詐欺メール、Chrome アップデート 詐欺、Edge 更新 フィッシング、0-day 脆弱性 メール、マルウェア感染、偽アップデートサイト、情報セキュリティ部 なりすまし
本記事の運営
詐欺被害ナビ編集部
詐欺・迷惑電話・SMSの情報を分析し、被害防止を目的に運営しています。
© 詐欺被害ナビ
最近のコメント