フィッシング詐欺とは、サイバー犯罪者がユーザをだまして機密情報を共有させようとする攻撃です。目的は、ログイン情報、クレジットカード番号、組織の機密情報を盗むことです。また、マルウェアに感染させようとする可能性もあります。
フィッシングとは、接続されたデバイスを介して窃盗を試みる行為を指します。この行為は手動で行われる場合もあれば、プロセスを自動化するツールによって実行される場合もあります。さらに、スクリプト化されたツールによってサイバー犯罪者が攻撃を仕掛け、手動で完了させる場合もあります。
「フィッシング」という言葉が初めて使われたのは1994年、ある10代の若者のグループがAOL(America Online)で何も知らないユーザからクレジットカード番号を手作業で入手しようとした時でした。1995年までに、彼らは作業を自動化する「AOHell」というプログラムを開発しました。
それ以来、サイバー犯罪者はインターネットにつながるあらゆる人から情報を収集する新たな方法を次々と生み出してきました。彼らは、今日でも使用されているさまざまなプログラムや悪意のあるソフトウェアを開発してきました。これらのツールの中には、侵入テスト、つまり「許可を得たハッキング」のみを目的として開発されたものもあります。しかし、一度ツールが作られてしまうと、悪意のある人物はそれを悪用する方法を見つけ出すことができます。
サイバー犯罪者はフィッシング詐欺に特化した悪意のあるソフトウェアの開発にも成功しています。その一例が、銀行口座の情報を盗むために設計されたツール「PhishX」です。攻撃者はPhishXを使って、ユーザが口座を持っている可能性のある実際の銀行のWebサイトを装った偽の銀行Webサイトを作成します。そして、そのページに自分の電話番号やメールアドレスを記載します。「お問い合わせ」をクリックすると、サイバー犯罪者と直接やり取りできるようになります。
Phishing Frenzyは、もともと侵入テスト用に開発されたメールフィッシングツールの一例です。Phishing Frenzyは操作性に優れ、その使いやすさから多くのサイバー犯罪者に利用されました。
もうひとつのフィッシングツールはSwetabhsuman8です。これは、Instagramアカウントをハッキングするための偽のログインページを作成するためのツールです。ログインしようとすると、サイバー犯罪者はユーザIDとパスワードを収集します。
サイバー犯罪者は、なりすましWebサイト、メールフィッシングツール、悪意のあるログインページを使って個人情報を盗むだけでなく、メール、偽のWebサイト、またはSMSで受信した電話番号に接続されたコールセンターも作成します。
現代のランサムウェア攻撃は、最大限の利益を得るために大企業を標的とする傾向があります。ランサムウェア攻撃を実行するまで、被害者のネットワークの各セクションを制圧するのにかなりの時間を費やす傾向があります。このような多段階攻撃は、多くの場合、1通のフィッシングメールから始まります。
フィッシング詐欺にはさまざまな種類がありますが、メールフィッシングが最も蔓延し、よく知られている攻撃手法です。この攻撃手法は、スピアフィッシング、ホエーリング、レーザー誘導攻撃の登場により、より巧妙化しています。フィッシング詐欺は、メールプログラムだけでなく、SMSやソーシャルメディアなどのコミュニケーションプラットフォームにも広がっています。
フィッシング詐欺には以下のものがあります。
サイバー犯罪者はオンラインの世界を悪用することを好みます。彼らは偽のWebサイトやログインページを作成して機密データを収集します。クレジットカード番号、銀行口座、ソーシャルメディアの認証情報にアクセスするだけでなく、脅威アクターは友人や同僚のソーシャルメディアチャネルを標的にしようとします。これは、犯罪者があなたのアカウントにアクセスし、ダイレクトメッセージを介してフォロワー、友人、同僚にフィッシング詐欺を送信するときに発生します。ソーシャルメディアの普及により、この方法は過去10年間でより一般的になりました。
自分を守るためにできることはたくさんあります。まず第一に、そして最も重要なことは、常に注意を払うことです。
次にすべきことは、アカウントを保護することです。パスワードは20文字前後、または20文字以上にする必要があります。パスワードに4つの選択肢(大文字、小文字、数字、記号)すべてを含める必要はありません。2つか3つで十分ですが、新しいパスワードを作成する際には、いくつか組み合わせるようにしましょう。パスワードを覚えるのが難しい人は多くいます。覚えやすい長いパスワードを1つ作成し、残りはLastPassやPassword Safeなどのパスワードマネージャに保存しましょう。
そして最も重要なのは、アカウントで2要素認証(2FA)を有効にすることです。Webサイトで、携帯電話を使ってワンタイムパスワードが記載されたSMSを受信するしか選択肢がない場合、パスワードだけでアクセスするよりも、2FAの方が安全です。
NIST(米国国立標準技術研究所)は、SMSワンタイムパスワードのサポートを廃止しました。より良い解決策は、Google Authenticator、Microsoft Authenticator、LastPass Authenticatorなどのツールを使用してワンタイムパスワードを作成することです。これらのオプションは、アカウントの「設定」で確認できます。
ソフトウェアツールを活用して、見落としがないか確認しましょう。ファイアウォール、ウイルス対策、マルウェア対策、フィッシング対策ツールも活用しましょう。ブラウザは慎重に選びましょう。使用しているブラウザは、フィッシング詐欺などの脅威を検出して保護してくれますか?プラグインを追加できますか?プラグインを追加できない場合は、別のブラウザを選びましょう。
上記の従業員向け推奨事項に加えて、組織は以下の対策を講じる必要があります。