- セキュリティ用語解説
- フィッシングの概要
フィッシングとは、一般的に、ハッカーが電子メールを通じてユーザや企業の情報を盗むために用いるソーシャルエンジニアリングの技術を指します。フィッシング攻撃は、ユーザが騙されていることに気がついていない場合に最も効力を発揮します。
フィッシングは、90年代中ごろから存在する攻撃手法です。始まりは、若者のグループがAOLのチャットルーム機能を操作して、AOLの管理者になりすまして不正を働いたことでした。彼らは他のユーザからクレジットカード番号を盗み、いつでも無料でAOLにアクセスできるようにしました。
AOLの「新規会員用チャットルーム」は、ユーザがサイトへのアクセスの支援を受けられるように用意されたものでした。ハッカーは、「BillingAccounting」のような、一見したところ正規のAOL管理者に思えるスクリーンネームを作成し、アカウントに問題があるとユーザに連絡しました。
そして、問題を解決するためにカード番号を提供するようユーザに要求しました。その後、犯人はそのカード番号を使って自分たちの口座で決済を行いました。「フィッシング」という言葉は、このような手法や類似する攻撃を説明するために生まれた造語ですが、現在は、主にメールによる詐欺手口の文脈で使われています。現在もなお、フィッシング詐欺は後を絶ちません。Verizon 2021 Data Breach Investigations Report (DBIR)によると、情報漏洩の36%にフィッシングが関与しています。
フィッシングはソーシャルエンジニアリングに基づいて実行されるため、攻撃者が人の性質をどう悪用するかについて、理解することが重要です。まず、ソーシャルエンジニアリングとは、ユーザが普段行わないことをするようハッカーが仕向ける詐欺のことです。
ソーシャルエンジニアリングには単純な手口も含まれます。たとえば、手がふさがっているのでドアを開けておいてくださいと頼む手口もその一つです。別の例として、「家族写真」のラベルを貼ったUSBメモリを駐車場に落としておく手口もあります。こうしたUSBメモリにはマルウェアが仕込まれており、パソコンにインストールされると何らかの形でセキュリティが侵害される可能性があります。これは「バイティング」と呼ばれる手口です。
フィッシングは、主に一般的なメール攻撃に関連して使用されます。これは、PayPalや銀行などの一般的なサービスの名前を利用して、大量のアドレスに手あたり次第にメールを送信するというものです。
メールには、アカウントが侵害されていると記述されており、リンクをクリックし、アカウントが正当なものであることを確認するように求められます。リンクをクリックすると、通常、次のいずれか、あるいはその両方が実行されます。
フィッシングは年々進化しており、さまざまな種類のデータを狙う攻撃があります。金銭だけでなく、機密データや写真も標的になり得ます。
フィッシング攻撃とは、ハッカーがユーザーの隙をついて情報を窃取するために行う一連の行為のことです。メールによるフィッシング詐欺は、文法やスペルに誤りがあるため、簡単に見破られるものがほとんどです。しかし、攻撃者もより洗練した技術を使うようになってきています。新たな攻撃手法は、恐怖、怒り、好奇心など、人間の感情を利用したものが主流になっています。
2011年に起きたRSA社に対する攻撃は、組織内のわずか4人を標的としたものでした。メール自体はあまり巧妙なものではありませんでしたが、的確にターゲットを絞ったため、成功しました。 “2011 Recruitment plan.xls(2011年採用計画.xls)”と題されたこのメールは、標的とされた人たちの興味をそそるように作られており、必ずしも組織内の他の人が興味を持つとは限らなかったのです。
フィッシング攻撃には多くの種類が存在します。例えば、典型的なメール攻撃、ソーシャルメディア攻撃、そしてスミッシングやビッシングといった混成語の名前が付いた攻撃などがあります。
内部フィッシングは、近年特に警戒されている攻撃です。この攻撃では、同じ組織内の信頼できるユーザから別のユーザにフィッシングメールが送られてきます。送信元が信頼できるユーザであるため、受信者がリンクをクリックしたり、添付ファイルを開いたり、求められた情報を回答したりする可能性が高いことが特徴です。
内部フィッシングメールを送信するため、攻撃者は漏洩した認証情報を使ってユーザのメールアカウントを操作します。攻撃者は、デバイスの紛失や盗難によって物理的に、あるいはデバイス上のマルウェアを介して、ユーザのデバイスを制御することもできます。内部フィッシングメールは、ランサムウェアなどによる恐喝や、金融資産あるいは知的資産の窃取を最終目的とした多段階攻撃の一部です。
スミッシングとは、モバイル端末を悪用した攻撃のことです。モバイル端末の販売台数がパソコンより多い今日、ハッカーは個人情報を窃取しようとこのプラットフォームに群がっています。スミッシング攻撃は通常、攻撃者がユーザの電話番号にテキストメッセージを送信し、アカウントに問題があるというメッセージと、その問題を解決するためにかける折り返し先電話番号を伝えるという方法で行われます。 この場合、ハッカー個人か、詐欺を続けるために脅威者が雇った「従業員」と連絡を取ることになるのが一般的です。
もしユーザが電話を返さなかった場合、ハッカーは「アカウントが攻撃され、問題を解決するためにはアカウントの詳細を共有する必要がある」と告げる電話をかけてくるかもしれません。ハッカーの成功は多くの場合、この発信コールの量に左右されます。これは「ビッシング」と呼ばれています。
スミッシングについて、詳しくはこちら。
ソーシャルメディアは、今やネット世界の中心にあり、ハッカーたちも簡単にフィッシング詐欺に利用できるほどです。Facebookでよくあるフィッシングの手口は、「友達」のアカウントに「お得な情報」や「オファー」を投稿し、クリックするよう指示するものです。この詐欺を仕掛けるためには、ハッカーがユーザーアカウントにアクセスする必要があります。
あるオンラインサーバが侵害され、パスワードが流出した場合、多くのアカウントでこのようなことが容易に起こり得ます。ハッカーは、FacebookやLinkedInなどの他の一般的なプラットフォームでも、同じ電子メールとパスワードの組み合わせを試しています。
ソーシャルメディアフィッシングについて、詳しくはこちら。
ユーザのフィッシング詐欺への警戒が高まるにつれて、ハッカーは新たな攻撃方法を編み出してきました。ファーミングは、コンピュータのドメインネームシステム (DNS) キャッシュを侵害します。攻撃には、ドライブバイダウンロードという手法が使われます。
ユーザがWebサイトを閲覧し、次から次へとクリックしていくうちに、攻撃者はWebサイト内に頻繁に存在するセキュリティの欠陥を悪用します。ユーザがWebサイトにアクセスしたときやクリックしたときに、情報をダウンロードするようにWebサイトのHTMLテキストを書き換えることは、かなり簡単です。
ユーザがメールでクリックしなければ、攻撃者はユーザが銀行口座に接続するのを待つだけです。改ざんされたDNSキャッシュ情報によって、ユーザはハッカーが作成した銀行のWebサイトに誘導されます。ユーザがIDとパスワードを入力することで、攻撃者がユーザの銀行口座にアクセスし、資金を盗むのに必要な認証情報を与えてしまいます。
自分の身を守るために個人でできる具体的な対策例をいくつかご紹介します。
上記の推奨事項に加えて、組織単位で以下の対策を実施する必要があります。