フィッシングの概要

フィッシングとは、一般的に、ハッカーが電子メールを通じてユーザや企業の情報を盗むために用いるソーシャルエンジニアリングの技術を指します。フィッシング攻撃は、ユーザが騙されていることに気がついていない場合に最も効力を発揮します。

フィッシング

フィッシングは、90年代中ごろから存在する攻撃手法です。始まりは、若者のグループがAOLのチャットルーム機能を操作して、AOLの管理者になりすまして不正を働いたことでした。彼らは他のユーザからクレジットカード番号を盗み、いつでも無料でAOLにアクセスできるようにしました。

AOLの「新規会員用チャットルーム」は、ユーザがサイトへのアクセスの支援を受けられるように用意されたものでした。ハッカーは、「BillingAccounting」のような、一見したところ正規のAOL管理者に思えるスクリーンネームを作成し、アカウントに問題があるとユーザに連絡しました。 

そして、問題を解決するためにカード番号を提供するようユーザに要求しました。その後、犯人はそのカード番号を使って自分たちの口座で決済を行いました。「フィッシング」という言葉は、このような手法や類似する攻撃を説明するために生まれた造語ですが、現在は、主にメールによる詐欺手口の文脈で使われています。現在もなお、フィッシング詐欺は後を絶ちません。Verizon 2021 Data Breach Investigations Report (DBIR)によると、情報漏洩の36%にフィッシングが関与しています。

フィッシングはソーシャルエンジニアリングに基づいて実行されるため、攻撃者が人の性質をどう悪用するかについて、理解することが重要です。まず、ソーシャルエンジニアリングとは、ユーザが普段行わないことをするようハッカーが仕向ける詐欺のことです。

ソーシャルエンジニアリングには単純な手口も含まれます。たとえば、手がふさがっているのでドアを開けておいてくださいと頼む手口もその一つです。別の例として、「家族写真」のラベルを貼ったUSBメモリを駐車場に落としておく手口もあります。こうしたUSBメモリにはマルウェアが仕込まれており、パソコンにインストールされると何らかの形でセキュリティが侵害される可能性があります。これは「バイティング」と呼ばれる手口です。

フィッシングは、主に一般的なメール攻撃に関連して使用されます。これは、PayPalや銀行などの一般的なサービスの名前を利用して、大量のアドレスに手あたり次第にメールを送信するというものです。

メールには、アカウントが侵害されていると記述されており、リンクをクリックし、アカウントが正当なものであることを確認するように求められます。リンクをクリックすると、通常、次のいずれか、あるいはその両方が実行されます。

  1. 本物のサイトを装った悪意のあるWebサイトにユーザを誘導します。たとえばPayPalのサービスを装うものであればwww.PayPals.comといったURLを用います。本物のサイトはwww.PayPal.comです。前者のURLに余分な「s」があることに気づきましたか? ユーザが悪意のあるWebサイトにアクセスし、ログインを試みると、ハッカーによってユーザIDとパスワードが窃取されてしまいます。

    その結果、ハッカーはどこからでも銀行のアカウントにアクセスして、送金することができるようになります。加えて、二次被害が生じる可能性もあります。ハッカーは、AmazonやeBayなど、あなたが持っている他のアカウントに使用できるパスワードを入手していることも考えられます。
  2. マルウェアと呼ばれるダウンロードした不正プログラム(悪意のあるソフトウェア)をユーザのコンピュータに感染させます。インストールしてしまえば、様々な攻撃に使用できるようになります。この不正プログラムは、ログイン情報やクレジットカード番号を盗み取るキーロガーの場合もあれば、ドライブ上のデータを暗号化し、ビットコインで身代金を要求するランサムウェアの場合もあります。

    最近では、感染したコンピュータがビットコインのマイニングに勝手に使われてしまう事例も増えています。ユーザがコンピュータを操作していないときにマイニングする手口や、ユーザが使用可能なCPU性能をフルに使用できないよう常時制限する手口があります。ハッカーは首尾よくビットコインをマイニングできるようになり、あなたのコンピューターは通常より処理が遅くなります。

フィッシングは年々進化しており、さまざまな種類のデータを狙う攻撃があります。金銭だけでなく、機密データや写真も標的になり得ます。

フィッシング攻撃

フィッシング攻撃とは、ハッカーがユーザーの隙をついて情報を窃取するために行う一連の行為のことです。メールによるフィッシング詐欺は、文法やスペルに誤りがあるため、簡単に見破られるものがほとんどです。しかし、攻撃者もより洗練した技術を使うようになってきています。新たな攻撃手法は、恐怖、怒り、好奇心など、人間の感情を利用したものが主流になっています。

2011年に起きたRSA社に対する攻撃は、組織内のわずか4人を標的としたものでした。メール自体はあまり巧妙なものではありませんでしたが、的確にターゲットを絞ったため、成功しました。 “2011 Recruitment plan.xls(2011年採用計画.xls)”と題されたこのメールは、標的とされた人たちの興味をそそるように作られており、必ずしも組織内の他の人が興味を持つとは限らなかったのです。

詳しくはこちら

フィッシングの種類

フィッシング攻撃には多くの種類が存在します。例えば、典型的なメール攻撃、ソーシャルメディア攻撃、そしてスミッシングやビッシングといった混成語の名前が付いた攻撃などがあります。

  • フィッシング - 通常はメールによる攻撃
  • スピアフィッシング - 標的を絞ったメール
  • ホエーリング - 特に標的を絞ったメールによる攻撃。役員クラスが狙われる事例が多い。
  • 内部フィッシング - 組織内部から発生するフィッシング攻撃
  • ビッシング - 音声通話による攻撃
  • スミッシング - テキストメッセージによる攻撃
  • ソーシャルメディアフィッシング - Facebookなどのソーシャルメディアへの投稿を利用した攻撃
  • ファーミング - DNSキャッシュを侵害する攻撃
     

詳しくはこちら

内部フィッシング

内部フィッシングは、近年特に警戒されている攻撃です。この攻撃では、同じ組織内の信頼できるユーザから別のユーザにフィッシングメールが送られてきます。送信元が信頼できるユーザであるため、受信者がリンクをクリックしたり、添付ファイルを開いたり、求められた情報を回答したりする可能性が高いことが特徴です。 

内部フィッシングメールを送信するため、攻撃者は漏洩した認証情報を使ってユーザのメールアカウントを操作します。攻撃者は、デバイスの紛失や盗難によって物理的に、あるいはデバイス上のマルウェアを介して、ユーザのデバイスを制御することもできます。内部フィッシングメールは、ランサムウェアなどによる恐喝や、金融資産あるいは知的資産の窃取を最終目的とした多段階攻撃の一部です。

スミッシング

スミッシングとは、モバイル端末を悪用した攻撃のことです。モバイル端末の販売台数がパソコンより多い今日、ハッカーは個人情報を窃取しようとこのプラットフォームに群がっています。スミッシング攻撃は通常、攻撃者がユーザの電話番号にテキストメッセージを送信し、アカウントに問題があるというメッセージと、その問題を解決するためにかける折り返し先電話番号を伝えるという方法で行われます。 この場合、ハッカー個人か、詐欺を続けるために脅威者が雇った「従業員」と連絡を取ることになるのが一般的です。

もしユーザが電話を返さなかった場合、ハッカーは「アカウントが攻撃され、問題を解決するためにはアカウントの詳細を共有する必要がある」と告げる電話をかけてくるかもしれません。ハッカーの成功は多くの場合、この発信コールの量に左右されます。これは「ビッシング」と呼ばれています。

スミッシングについて、詳しくはこちら。

ソーシャルメディアフィッシング

ソーシャルメディアは、今やネット世界の中心にあり、ハッカーたちも簡単にフィッシング詐欺に利用できるほどです。Facebookでよくあるフィッシングの手口は、「友達」のアカウントに「お得な情報」や「オファー」を投稿し、クリックするよう指示するものです。この詐欺を仕掛けるためには、ハッカーがユーザーアカウントにアクセスする必要があります。

あるオンラインサーバが侵害され、パスワードが流出した場合、多くのアカウントでこのようなことが容易に起こり得ます。ハッカーは、FacebookやLinkedInなどの他の一般的なプラットフォームでも、同じ電子メールとパスワードの組み合わせを試しています。

ソーシャルメディアフィッシングについて、詳しくはこちら。

ファーミング

ユーザのフィッシング詐欺への警戒が高まるにつれて、ハッカーは新たな攻撃方法を編み出してきました。ファーミングは、コンピュータのドメインネームシステム (DNS) キャッシュを侵害します。攻撃には、ドライブバイダウンロードという手法が使われます。 

ユーザがWebサイトを閲覧し、次から次へとクリックしていくうちに、攻撃者はWebサイト内に頻繁に存在するセキュリティの欠陥を悪用します。ユーザがWebサイトにアクセスしたときやクリックしたときに、情報をダウンロードするようにWebサイトのHTMLテキストを書き換えることは、かなり簡単です。

ユーザがメールでクリックしなければ、攻撃者はユーザが銀行口座に接続するのを待つだけです。改ざんされたDNSキャッシュ情報によって、ユーザはハッカーが作成した銀行のWebサイトに誘導されます。ユーザがIDとパスワードを入力することで、攻撃者がユーザの銀行口座にアクセスし、資金を盗むのに必要な認証情報を与えてしまいます。

フィッシング対策

自分の身を守るために個人でできる具体的な対策例をいくつかご紹介します。

  • アカウントが二要素認証(2FA)に対応している場合は、有効化しましょう。
  • マルウェア対策ソフトを使用しましょう。
  • ファイアウォールを使用しましょう。
  • ポップアップ・ポップアンダー広告には注意を払うようにしましょう。
  • メールの添付ファイルは、送信元が誰であれ警戒しましょう。
  • リンクをクリックさせて何らかのサイトに誘導しようとしたり、個人情報を聞き出そうとしたりするメールやテキストメッセージは、送信元が誰であれ警戒しましょう。
  • 個人情報を公開してはいけません。

上記の推奨事項に加えて、組織単位で以下の対策を実施する必要があります。

  • フィッシングメールと悪意のあるWebトラフィックをゲートウェイにてフィルタリングしましょう。
  • DMARC(Domain-Based Message Authentication, Reporting, and Conformance)を用いて、メールの送信者を認証しましょう。
  • 送信者と内容に基づいてフィッシングメールをフィルタリングし、静的および動的な手法を用いて、URLと添付ファイルに悪意のある属性が含まれないか分析しましょう。
  • AIを使用した高度なフィルタリング技術を導入して、BEC(ビジネスメール詐欺)や資格情報を盗む攻撃を検知しましょう。
  • クラウドあるいはオンプレミスのメールプラットフォームとサービス統合型セキュリティソリューションをAPI連携することで、内部フィッシング攻撃を阻止しましょう。Microsoft 365、Google G Suite、Microsoft Exchange Server、およびIBM Dominoサーバで利用できます。

フィッシングに関するトピック