フィッシング詐欺とは?

フィッシング詐欺とは、サイバー犯罪者がユーザをだまして機密情報を共有させようとする攻撃です。目的は、ログイン情報、クレジットカード番号、組織の機密情報を盗むことです。また、マルウェアに感染させようとする可能性もあります。

フィッシング詐欺とは?

フィッシングとは、接続されたデバイスを介して窃盗を試みる行為を指します。この行為は手動で行われる場合もあれば、プロセスを自動化するツールによって実行される場合もあります。さらに、スクリプト化されたツールによってサイバー犯罪者が攻撃を仕掛け、手動で完了させる場合もあります。

「フィッシング」という言葉が初めて使われたのは1994年、ある10代の若者のグループがAOL(America Online)で何も知らないユーザからクレジットカード番号を手作業で入手しようとした時でした。1995年までに、彼らは作業を自動化する「AOHell」というプログラムを開発しました。

それ以来、サイバー犯罪者はインターネットにつながるあらゆる人から情報を収集する新たな方法を次々と生み出してきました。彼らは、今日でも使用されているさまざまなプログラムや悪意のあるソフトウェアを開発してきました。これらのツールの中には、侵入テスト、つまり「許可を得たハッキング」のみを目的として開発されたものもあります。しかし、一度ツールが作られてしまうと、悪意のある人物はそれを悪用する方法を見つけ出すことができます。

サイバー犯罪者はフィッシング詐欺に特化した悪意のあるソフトウェアの開発にも成功しています。その一例が、銀行口座の情報を盗むために設計されたツール「PhishX」です。攻撃者はPhishXを使って、ユーザが口座を持っている可能性のある実際の銀行のWebサイトを装った偽の銀行Webサイトを作成します。そして、そのページに自分の電話番号やメールアドレスを記載します。「お問い合わせ」をクリックすると、サイバー犯罪者と直接やり取りできるようになります。

Phishing Frenzyは、もともと侵入テスト用に開発されたメールフィッシングツールの一例です。Phishing Frenzyは操作性に優れ、その使いやすさから多くのサイバー犯罪者に利用されました。

もうひとつのフィッシングツールはSwetabhsuman8です。これは、Instagramアカウントをハッキングするための偽のログインページを作成するためのツールです。ログインしようとすると、サイバー犯罪者はユーザIDとパスワードを収集します。

サイバー犯罪者は、なりすましWebサイト、メールフィッシングツール、悪意のあるログインページを使って個人情報を盗むだけでなく、メール、偽のWebサイト、またはSMSで受信した電話番号に接続されたコールセンターも作成します。

現代のランサムウェア攻撃は、最大限の利益を得るために大企業を標的とする傾向があります。ランサムウェア攻撃を実行するまで、被害者のネットワークの各セクションを制圧するのにかなりの時間を費やす傾向があります。このような多段階攻撃は、多くの場合、1通のフィッシングメールから始まります。

フィッシング詐欺の例

フィッシング詐欺にはさまざまな種類がありますが、メールフィッシングが最も蔓延し、よく知られている攻撃手法です。この攻撃手法は、スピアフィッシング、ホエーリング、レーザー誘導攻撃の登場により、より巧妙化しています。フィッシング詐欺は、メールプログラムだけでなく、SMSやソーシャルメディアなどのコミュニケーションプラットフォームにも広がっています。

フィッシング詐欺には以下のものがあります。

  • メールフィッシング - サイバー犯罪者は、ユーザに不安や心配、あるいは好奇心を抱かせることを目的として、リンクを含むメールを送信します。このメールの目的は、ユーザにリンクをクリックさせることです。
  • ヴィッシング - 攻撃者は、固定電話、携帯電話、またはVoIP電話に電話をかけ、ユーザと会話を始めます。
  • スミッシング - 犯罪者は、リンクをクリックするか、送信者に電話をかけるように求めるSMSを送信します。
  • ファーミング - 迷惑メールのリンクをクリックすることの危険性を認識する人が増えるにつれ、犯罪者はファーミングを考案しました。ファーミング攻撃には悪意のあるURLが含まれており、ユーザがそのWebアドレスをブラウザにコピー&ペーストしてWebサイトに直接アクセスすることを期待します。ファーミングは、被害者を正しい宛先に誘導するDNS(ドメインネームシステム)情報のローカルキャッシュを侵害します。悪意のあるリンクをクリックすると、偽装されたWebサイトに誘導されます。
  • スピアフィッシング - サイバー犯罪者は、組織または個人を狙った、カスタマイズされたメールを送信します。スピアフィッシングメールは通常、経営幹部や財務部門の担当者を標的とします。
  • ホエーリング - ホエーリングはスピアフィッシングに似ていますが、組織の上級経営幹部を標的とすることがよくあります。

オンラインフィッシング詐欺

サイバー犯罪者はオンラインの世界を悪用することを好みます。彼らは偽のWebサイトやログインページを作成して機密データを収集します。クレジットカード番号、銀行口座、ソーシャルメディアの認証情報にアクセスするだけでなく、脅威アクターは友人や同僚のソーシャルメディアチャネルを標的にしようとします。これは、犯罪者があなたのアカウントにアクセスし、ダイレクトメッセージを介してフォロワー、友人、同僚にフィッシング詐欺を送信するときに発生します。ソーシャルメディアの普及により、この方法は過去10年間でより一般的になりました。

フィッシング詐欺を防ぐ方法

自分を守るためにできることはたくさんあります。まず第一に、そして最も重要なことは、常に注意を払うことです。

  • メールをクリックする前に、よく確認してください。送信元のメールアドレスやクリックを促すリンクにマウスオーバーしてみてください。そうすることで、フィッシングメールであることを示す情報が明らかになる場合があります。
  • Webサイトに機密情報を入力する前に、ページ上部のURLをもう一度確認してください。これは本物のWebサイトでしょうか?アドレスに余分な文字が含まれていませんか?0がOのように、文字が数字に置き換えられていませんか?見分けるのは難しい場合があります。
  • 友人の投稿をクリックする前に、よく考えてください。話が良すぎる場合は、詐欺の可能性があります。
  • 友人が困っていてお金が必要だという投稿に返信する前に、よく考えてください。友人はこのような方法で連絡してくるでしょうか?
  • ポップアップやポップアンダーをクリックする前に、よく考えてください。
  • メールの添付ファイルを開く前に、よく考えてください。その人から添付ファイルが届くと思っていましたか?そうでない場合は、相手に尋ねてください。
  • SMS(ショートメッセージサービス)に返信する前に、よく考えてください。電話会社や銀行などがSMSで連絡してくる可能性は低いでしょう。
  • 信頼できる相手と話していると確信が持てない限り、個人情報を提供しないでください。

次にすべきことは、アカウントを保護することです。パスワードは20文字前後、または20文字以上にする必要があります。パスワードに4つの選択肢(大文字、小文字、数字、記号)すべてを含める必要はありません。2つか3つで十分ですが、新しいパスワードを作成する際には、いくつか組み合わせるようにしましょう。パスワードを覚えるのが難しい人は多くいます。覚えやすい長いパスワードを1つ作成し、残りはLastPassやPassword Safeなどのパスワードマネージャに保存しましょう。

そして最も重要なのは、アカウントで2要素認証(2FA)を有効にすることです。Webサイトで、携帯電話を使ってワンタイムパスワードが記載されたSMSを受信するしか選択肢がない場合、パスワードだけでアクセスするよりも、2FAの方が安全です。

NIST(米国国立標準技術研究所)は、SMSワンタイムパスワードのサポートを廃止しました。より良い解決策は、Google Authenticator、Microsoft Authenticator、LastPass Authenticatorなどのツールを使用してワンタイムパスワードを作成することです。これらのオプションは、アカウントの「設定」で確認できます。

ソフトウェアツールを活用して、見落としがないか確認しましょう。ファイアウォール、ウイルス対策、マルウェア対策、フィッシング対策ツールも活用しましょう。ブラウザは慎重に選びましょう。使用しているブラウザは、フィッシング詐欺などの脅威を検出して保護してくれますか?プラグインを追加できますか?プラグインを追加できない場合は、別のブラウザを選びましょう。

上記の従業員向け推奨事項に加えて、組織は以下の対策を講じる必要があります。

  • メールゲートウェイを使用してスパムメールをブロックし、不審なリンクや添付ファイルを含むメールを削除します。
  • スパム・フィッシングフィルタをインストールして、不明な送信者からのメールや不審なコンテンツを含むメールを除外します。
  • DMARC(ドメインベースのメッセージ認証、レポート、適合)メール認証ツールを使用して、犯罪者がメールの差出人アドレスを偽装するのを阻止します。
  • AI(人工知能)フィルタリング技術を活用し、BEC(ビジネスメール詐欺)メールを検知しましょう。BECメールは、組織の経営陣を装った犯罪者から送信され、通常、従業員に対し、会社の口座からサイバー犯罪者の偽装口座に資金を送金するよう要求します。
  • 組織内部からのフィッシング詐欺から保護するために、サービス統合型セキュリティソリューションを導入しましょう。
  • 従業員を定期的にフィッシング詐欺のシミュレーションやトレーニングに参加させ、フィッシング詐欺の危険性を認識させましょう。

関連記事