Blog"   調達購買関連 最新トピックス
日本の経産省も、政府機関などの偽購買ポータル設置が多発、ユーザーアクセス認証情報をフィッシング詐取ーPYMNTS (2019-12-30)

サイバーセキュリティ会社のアノマリー(Anomali)社が、12月12日に各国の政府機関などで認証情報詐取の偽購買サイトが一気に立ち上がっているとの報告書を発表しました。そしてその中には、日本の経済産業省の名前が含まれていました。

メールに含まれている偽購買サイトのリンクをクリックすると、偽装したログイン画面が表示され、ユーザーのログイン認証情報が詐取される仕組みのこと。各国政府期間(米国、カナダ、メキシコ、ペルー、中国、日本(経産省)、シンガポール、マレーシア、オーストラリア、スウェーデン、ポーランド、南アフリカ)および物流業者(DHL, SFExpress)が偽装されました。偽装は現在休止中ですが、犯人は特定できていません。

そしてアノマリー社は、このような偽装が発生した原因を、「競合他社の入札内容を盗み見て有利な入札を行うため」あるいは「候補サプライヤー情報の入手」ではないかとしていますが、いずれにせよ、これまで偽サイトの事例があまり無い購買ポータルの偽装になります。

さらに言うならば、昨今のクラウド型購買サービスでは、導入各社で類似したログイン画面になりがちで、偽装サイトを作りやすい気もします。

話題は変わりますが、11月には資源エネルギー庁の入札情報が、システム機能不備により丸見えになる事態が発生しています。この辺りも含めて、調達システムの情報漏洩のサイバーセキュリティにも今後留意を強める必要がありそうです。

参考)
Phishing Campaign Targets Login Credentials of Multiple US, International Government Procurement ServicesーAnomali
https://www.anomali.com/blog/phishing-campaign-targets-login-credentials-of-multiple-us-international-government-procurement-services

Phishing attacks targeted procurement portals worldwide- CIPS(Supply Management)
https://www.cips.org/en-SG/supply-management/news/2019/december/phishing-attacks-targeted-procurement-portals-worldwide/

Anomali Identifies Scam To Steal Gov’t Procurement Site CredentialsーPYMNTS.com
https://www.pymnts.com/news/b2b-payments/2019/anomali-identifies-scam-to-steal-govt-procurement-site-credentials/

指定入札機関における情報漏えいと 今後の対応についてー資源エネルギー庁
https://www.meti.go.jp/shingikai/santeii/pdf/051_01_00.pdf