フィッシングの概要

フィッシングとは、個人や企業から情報を盗む手口の一種で、本物であるかのように巧妙に作られたメールが使われます。人間の行動のミスに付け込むソーシャルエンジニアリングによって行われるこの手法では、時に被害者は騙されたことにさえ気づかないこともあります。

フィッシングの由来

「フィッシング(英:Phishing)」は90年代中ごろから登場した用語であり、サイバー脅威の中では人間を騙す手法を指します。初期の事例としてはAOLのチャットルーム上で10代の若者グループがAOLの管理者になりすまして不正を働いたものがあります。彼らは本物に見せかけた「支払いとアカウント」画面を用意し、アカウントに問題があるとユーザに連絡しました。

これが「フィッシング」という言葉が生まれた始まりです。現在では、主にメールや偽サイトにより、利用者を騙す詐欺手口の文脈で使われる用語になっています。フィッシングは、ネットが誕生初期から今日に至るまで続いています。

フィッシングの一般的な手口

攻撃手法としての「フィッシング」の本質は「ソーシャルエンジニアリング」、つまり人間を騙す詐欺の手口です。 ハッカーはこの手口を使ってユーザを信じさせ、普段なら絶対にしないような行動に走らせるのです。

このソーシャルエンジニアリングには、単純な手口も含まれます。たとえば、手がふさがっているのでドアを開けておいてくださいと頼む手口もその一つです。別の例として、「家族写真」のラベルを貼ったUSBメモリにマルウェアを仕込んで駐車場に落としておく手口もあります。

これは一般的なソーシャルエンジニアリングの分類では「バイティング」とも呼ばれる手口です。

一般的なフィッシングはメール経由の攻撃が中心です。著名なサービスの名前を騙って大量のアドレスに手あたり次第にメールを送信します。

その内容は、例えば「アカウントが不正アクセスされたためリンクをクリックして問題の有無を確認する必要がある」といったものです。リンクをクリックすると、多くの場合、次のいずれかのことが起きます。両方の場合もあります。

  1. ユーザを悪意のあるWebサイトに誘導します。このサイトは本物のサイトを装ったもので、たとえばPayPalのサービスを装うものであればwww.PayPals.comといったURLを用います。本物のサイトはwww.PayPal.comです。前者のURLに余分な「s」があることに気づきましたか? 悪意のあるWebサイトに誘導されたユーザは、ログインの試行時にユーザIDとパスワードを取得されてしまう可能性があります。

    そうなると、ハッカーに銀行のアカウントにアクセスされ、預金引き出されてしまいます。加えて、二次被害が生じる可能性もあります。もし、AmazonやeBayなどのサイトで同じパスワードを使用していたら、どのアカウントにも使える共通パスワードがハッカーの手に渡ったことになるのです。
  2. ダウンロードした不正プログラム(悪意のあるソフトウェア)をユーザのコンピュータに感染させます。インストールしてしまえば、様々な攻撃に使用できるようになります。この不正プログラムは、ログイン情報やクレジットカード番号を盗み取るキーロガー である場合があります。あるいは、ドライブ上のデータを暗号化し、身代金を要求するランサムウェアである可能性もあります。

最近では、感染したコンピュータがビットコインのマイニングに勝手に使われてしまう事例も増えています。ユーザがコンピュータを操作していないときにマイニングする手口や、ユーザが使用可能な計算能力を制限し続ける手口があります。

フィッシング攻撃

フィッシング攻撃とは、ユーザの隙につけこむことを目的としたハッカーの攻撃活動です。従来のメールフィッシング詐欺では、不自然な言葉(日本語)が使われるため、文法や単語の誤りから簡単に見破れるものがほとんどでした。

しかし、最近では自然な言葉による巧妙なフィッシング攻撃も確認されるようになっています。また、加えてフィッシング攻撃の手法自体もより技術的に洗練されてきています。

フィッシング攻撃の種類

フィッシング攻撃には多くの種類が存在します。従来のメールを利用した攻撃の他にも、ソーシャルメディア、SMS、音声などを利用したフィッシングも存在します。フィッシングの本質は、誰もが持つ騙されやすさを利用することです。

  • フィッシング攻撃 – 通常はメールにより、利用者を騙す攻撃
  • スピアフィッシング – 特定の標的のみを対象としたメールによるフィッシング攻撃中でも企業の社長や役員のような「大物」を攻撃対象とするものを特に「ホエーリング」と呼ぶ場合もある
  • 内部フィッシング – 社内メールを利用したフィッシング攻撃
  • ヴィッシング – 電話など音声通話によるフィッシング攻撃
  • スミッシング – SMS(テキストメッセージ)によるフィッシング攻撃
  • ソーシャルメディアフィッシング – Facebookなどのソーシャルメディアへの投稿を利用したフィッシング攻撃
     

「フィッシング攻撃の種類」の詳細はこちらを参照してください。

フィッシング攻撃の例①:スミッシング

スミッシングは、SMSとPhishingを組み合わせた造語であり、携帯電話のショート・メッセージ・サービス(SMS)を悪用したフィッシング攻撃のことを指します。

今日では、PCよりもモバイル機器のほうが数多く販売されていることから、ハッカーも個人情報を盗む活動の範囲を広げています。この攻撃では、テキストメッセージを無差別に手あたり次第送信します。

その内容は、例えば宅配業者を装って「お客様の荷物をお届けに伺いましたが、不在のため持ち帰りました。詳細のURLをご確認ください。」という内容のものです。このURLにアクセスすると、宅配業者を装った不正サイトに接続され、不正なアプリや入力フォームなどを通じて個人情報が窃取されてしまいます。

「スミッシング」の詳細はこちらを参照してください。

フィッシング攻撃の例②:ソーシャルメディアフィッシング

ハッカーは、私たちが日々多くの時間を費やすソーシャルメディアも攻撃に悪用しています。近年では、FacebookやLinkedIn、Instagramを始めとする多種多様なサービスが展開されています。こうしたプラットフォームにはハッカーも存在し、さまざまな問題を引き起こしています。

Facebookでよくある攻撃は、友人のアカウントによる投稿から始まります。たとえば、「高級サングラスの特売が行われているので、リンクをクリックして参加しましょう」といった内容です。

この攻撃を実行するには、そもそもFacebookアカウントに不正ログインする必要があります。しかし、簡単に不正ログインできるアカウントは少なくありません。別の会社のオンラインサーバが攻撃を受け、パスワードが漏えいしたとしましょう。するとハッカーは、漏えいしたメールとパスワードの組み合わせを用いて別のプラットフォームで不正ログインを試みます。狙いは、FacebookやLinkedInなどのよく使われるプラットフォームです。

フィッシング対策

まず、組織の従業員ができるフィッシングの対策例をご紹介します。

  • アカウントが二要素認証に対応している場合は、有効化しましょう。
  • マルウェア対策ソフトを使用しましょう。
  • ポップアップ・ポップアンダー広告には注意を払うようにしましょう。
  • メールの添付ファイルは、送信元が誰であれ警戒しましょう。
  • リンクをクリックさせて何らかのサイトに誘導しようとしたり、個人情報を聞き出そうとしたりするメールやテキストメッセージは、送信元が誰であれ警戒しましょう。

次に、組織単位でできるフィッシング攻撃対策には次のようなものがあります。

  • ゲートウェイでフィッシングメールと悪意のあるウェブトラフィックをフィルタリングしましょう。
  • DMARCを用いて、メールの送信者を認証しましょう。
  • 送信者と内容に基づいてフィッシングメールをフィルタリングし、静的および動的な手法を用いて、URLと添付ファイルに悪意のある属性が含まれないか分析しましょう。
  • AIを使用した高度なフィルタリング技術を導入して、BECメールや資格情報を盗む攻撃を検知しましょう。
  • セキュリティソリューションをAPI経由でメールプラットフォームに接続することで、フィッシング攻撃を防止しましょう。