フィッシング攻撃の種類とは?
フィッシング攻撃には、古典的なメールフィッシングから、スピアフィッシングやスミッシングといった巧妙な手法まで、さまざまな種類があります。いずれの攻撃も目的は同じで、個人情報を盗むことです。
フィッシング攻撃の種類とは?
フィッシング攻撃はソーシャルエンジニアリング攻撃の一種で、攻撃者によって狙う標的はさまざまです。PayPalのアカウントを持つ人を狙った、ありふれた詐欺メールが届くこともあります。
フィッシングは、特定の個人を狙った標的型攻撃である場合もあります。攻撃者は、相手に直接語りかけるようにメールをカスタマイズし、知り合いしか知らないような情報を含めることがよくあります。攻撃者は、個人情報にアクセスした後に、これらの情報を入手します。このようなメールは、どんなに用心深い受信者であっても、被害を回避することは非常に困難です。 PhishMe Researchの調査によると、フィッシングメール全体の97%以上がランサムウェアによるものだといいます。
スピアフィッシングとは?
竿を使った釣りでは、水面下の魚(ヒラメや底生魚など)やゴミを捕まえることがあります。一方、スピアフィッシングでは、特定の魚を狙います。これがスピアフィッシングの名前の由来です。
スピアフィッシングは、組織のシステム管理者など、特定のグループや特定の個人を標的とします。以下はスピアフィッシングメールの例です。受信者の業界への配慮、被害者にクリックを促すダウンロードリンク、そして要求に対する迅速な対応が求められていることに注目してください。
ホエーリングとは?
ホエーリングは、魚よりもさらに大きな海洋生物であるクジラを狙う、より標的を絞ったフィッシングです。これらの攻撃は通常、CEOやCFOなど、特定の業界や組織の幹部を標的とします。ホエーリングメールには、組織が法的措置に直面しており、詳細情報を入手するにはリンクをクリックする必要があると記載されている場合があります。
リンクをクリックすると、納税者番号や銀行口座番号など、組織に関する重要なデータの入力を求めるページに移動します。
スミッシングとは?
スミッシングとは、テキストメッセージやショートメッセージサービス(SMS)を使用して攻撃を実行するものです。一般的なスミッシングの手法は、クリック可能なリンクまたは返信電話番号を含むメッセージをSMSでスマートフォンに送信することです。
スミッシング攻撃の一般的な例として、銀行から送信されたように見えるSMSメッセージがあります。このメッセージは、あなたの口座が侵害されたため、すぐに対応する必要があることを伝えます。攻撃者は、銀行口座番号やマイナンバーなどの確認を求めます。攻撃者が情報を受け取ると、あなたの銀行口座を制御できるようになります。
ヴィッシングとは?
ヴィッシングは、他のフィッシング攻撃と同じ目的で行われます。攻撃者は依然として、あなたの個人情報や組織の機密情報を狙っています。この攻撃は音声通話(voice call)を通じて行われます。そのため、名前には「ph」ではなく「v」が使われています。
よくあるヴィッシング攻撃には、マイクロソフトの担当者を名乗る人物からの電話が含まれます。この人物は、あなたのコンピュータにウイルスが検出されたと伝えます。そして、攻撃者があなたのコンピュータにウイルス対策ソフトウェアの最新版をインストールできるように、クレジットカード情報の入力を求めます。これで攻撃者はあなたのクレジットカード情報を入手し、あなたのコンピュータにマルウェアがインストールされる可能性が高くなります。
マルウェアには、バンキング型トロイの木馬からボットまで、さまざまなものが含まれている可能性があります。バンキング型トロイの木馬は、あなたのオンラインアクティビティを監視し、より多くの情報を盗みます。多くの場合、銀行口座情報やパスワードなどが盗まれます。
ボットは、サイバー犯罪者が望むあらゆるタスクを実行するように設計されたソフトウェアです。コマンド&コントロール(C&C)によって制御され、ビットコインのマイニング、スパムの送信、分散型サービス拒否(DDoS)攻撃の一環として攻撃を開始します。
メールフィッシングとは?
メールフィッシングは最も一般的なフィッシングの一種で、1990年代から利用されています。サイバー犯罪者は入手したあらゆるメールアドレスにこのメールを送信します。メールは通常、アカウントが侵害されたことを通知し、記載されたリンクをクリックしてすぐに対応する必要があると伝えます。メール内の文言にはスペルミスや文法ミスが含まれていることが多いため、これらの攻撃は通常簡単に見分けられます。
特に言葉遣いや文法が巧妙に作られている場合、フィッシング攻撃だと見分けるのが難しいメールもあります。メールの送信元とリンク先に不審な表現がないか確認することで、送信元が正当なものかどうかを判断する手がかりを得ることができます。
セクストーションと呼ばれる別のフィッシング詐欺は、サイバー犯罪者があなたから送信されたように見せかけたメールを送信するものです。サイバー犯罪者は、あなたのメールアカウントとコンピュータにアクセスできると主張し、パスワードとあなたの録画ビデオを持っていると主張します。
サイバー犯罪者は、カメラがオンになって録画している間に、あなたがコンピュータでアダルトビデオを視聴していたと主張します。通常はビットコインで身代金を支払わなければ、家族や同僚にビデオを公開すると脅します。
検索エンジンフィッシングとは?
検索エンジンフィッシングは、SEOポイズニングやSEOトロイの木馬とも呼ばれ、サイバー犯罪者が検索エンジンを使った検索で上位に表示されるように仕掛ける手口です。検索エンジン内に表示されるリンクをクリックすると、サイバー犯罪者のウェブサイトに誘導されます。そこから、サイバー犯罪者はあなたがサイトを操作したり、機密データを入力したりした際に、あなたの情報を盗み出します。サイバー犯罪者のウェブサイトはあらゆる種類のウェブサイトを装いますが、銀行、送金サイト、ソーシャルメディア、ショッピングサイトなどが主な標的となります。