フィッシングとは?攻撃の種類と防止策

フィッシングとは、パスワードやクレジットカード番号などの機密情報を開示させるために潜在的な被害者を信じこませることを目的としたサイバー攻撃です。サイバー犯罪者は、自分ではない誰かのふりをし、緊急性によって被害者に正常な判断を下す時間を与えずに、計画を実行します。

フィッシングの仕組みとは?

フィッシングは、危険かつ効果的なハッキング手法です。サイバー犯罪者が有害なリンクや添付ファイルを含むメッセージを人々や企業に送信することで機能します。その目的は、標的にリンクをクリックさせ、マルウェアをダウンロードさせたり、不正なウェブサイトに誘導して個人情報を盗み出すことです。フィッシング攻撃は、その攻撃者と彼らが確保しようとしている情報により、異なるいくつかの方法で実行される可能性があります。

フィッシングの手口は年々巧妙になっています。すべての情報漏洩の約 32%にフィッシングが関与していると推定され、組織の約 64%が、その歴史の中で少なくとも一度はフィッシング攻撃を受けたことがあると報告しています。

フィッシングの課題は、特に AIの導入により、その手口が巧妙になるにつれ発見が難しくなることです。サイバー犯罪者はソーシャルエンジニアリングを駆使して不審な添付ファイルを開くよう誘導するため、フィッシングメールを開いたことがあっても、それに気付かなかったことがあるかもしれません。

フィッシングの仕組みとは?
よく使われるフィッシングの手口

よく使われるフィッシングの手口

ソーシャルエンジニアリング

ソーシャルエンジニアリングとは、欺くような情報で被害者を操り、素早く行動を起こさせる攻撃のことです。その一例として、国税庁が被害者に対して訴訟を起こしているのではないかという不安を利用したものがあります。このタイプのフィッシング詐欺は、納税シーズンに最もよく見られるものです。フィッシングメッセージには、「今すぐ対応しないと 国税庁 が罰金を科す」といった、行動を促すような緊急性の高い呼びかけが含まれており、被害者はサイバー犯罪者に機密情報を提供するよう誘導されてしまいます。

さらに巧妙な例としては、職場の同僚や上司からの不正なメッセージや、確認済みの受信者情報を含むメッセージなどがあります。このような例では、様々な種類の情報が漏洩する可能性があります。

リンクの模倣

リンクの模倣は、ソーシャルエンジニアリングと組み合わせて使われることが多くなっています。国税庁の詐欺を例にとると、被害者は国税庁に借金があると信じ込まされ、提供されたリンクをクリックしてしまいます。一見すると、リンクは正当なものに見え、おそらく国税庁のウェブサイトの正しい URL のようにさえ見えます。しかし、クリックするとユーザーは違法なウェブサイトにリダイレクトされ、そこで情報を要求されます。被害者が情報を入力すると、サイバー犯罪者はその情報が何であるかを知り、悪意のある目的に利用することができてしまいます。

フィッシングリンクをクリックするとどうなる?

フィッシングリンクは、被害者を違法なウェブサイトにリダイレクトさせたり、悪意のある添付ファイルをダウンロードさせたり、デバイスやネットワークにマルウェアをインストールさせたりするものです。

フィッシング攻撃は、ネットワークを乗っ取ったり情報を盗んだりすることで、組織のネットワーク全体を混乱させてしまう可能性があります。攻撃により、組織はオンラインサービスを無期限に停止せざるを得なくなり、大幅な収益の損失やマルウェアによる更なる被害が発生する可能性があります。さらに、企業が直面する可能性のある規制上の罰金や、漏洩した後の企業の風評被害につながる恐れもあります。

フィッシング攻撃は、金銭的な損失を引き起こしたり、ID を盗まれるなど、一般の人々にとっても危険な攻撃です。

メールフィッシング

メールフィッシング攻撃は、最も一般的で汎用性の高いフィッシング攻撃の一つであり、最も効果的な攻撃の一つでもあります。Eメールによるフィッシング攻撃は、多くの場合ソーシャルエンジニアリングによってユーザーを操り、有害なリンクをクリックさせたり、マルウェアをダウンロードさせたりします。

フィッシングメールの種類

スピアフィッシング

スピアフィッシング攻撃は、個人情報を最大限に利用した標的型フィッシング攻撃です。攻撃者は、被害者の電話番号、住所、氏名、場合によっては社会保障番号などをすでに知っており、その情報を利用してフィッシングの添付ファイルやリンクをより合法的なものに見せかけます。

ホエールフィッシング

ホエーリングアタックはスピアフィッシングと似ていますが、ターゲットが一般人や中小企業のネットワークではなく、「ホエール」、つまり知名度の高いターゲットである点が異なります。その目的は、高レベルのデータ、内部システム、または機密情報へのアクセス権を得ることです。

クローンフィッシング

クローンフィッシングでは、サイバー犯罪者がマルウェアや悪意のあるリンクを含む正規のメールを複製して再送信し、受信者を騙してクリックさせようとします。

メールフィッシング
その他のフィッシング攻撃

その他のフィッシング攻撃

スミッシング

スミッシングは、SMS メッセージを介して行われることを除けば、メールフィッシングと同じです。被害者は、フィッシングメールと同様のメッセージをテキストメッセージで受け取り、リンクをたどったり、添付ファイルをダウンロードすることになります。

ビッシング

ビッシングは、電話の向こうで実際に人が話しているため、より洗練された、時にはより効果的なフィッシング方法となります。攻撃者の目的は、金銭的な利益を得るために情報、一般的にはクレジットカード情報を入手することです。高齢者はこの種の攻撃に引っかかりやすいものです。

ソーシャルフィッシングやアングラーフィッシング

アングラーフィッシングとは、攻撃者が正規の顧客サービス担当者を装い、被害者に個人情報を渡すように説得するものです。

マルバタイジング

マルバタイジングとは、サイバー犯罪者が正当な広告主に報酬を支払い、ウェブサイトやソーシャルメディアページに広告を表示させることです。ユーザーが不正広告をクリックすると、悪意のあるサイトに誘導され、マルウェアがデバイスにダウンロードされます。

フィッシング攻撃から身を守る方法

パスワードマネージャーを利用する

パスワードマネージャーは、パスワードの作成、管理、安全な保存をサポートすることで、フィッシング攻撃からあなたを保護することができます。Keeperパスワードマネージャーのようなパスワードマネージャーは、フィッシングサイトに関する警告機能を内蔵しています。保管されたログイン情報がウェブサイトに表示されない場合は、おそらく間違ったサイトにいる可能性があります。さらに、統合されたパスワード生成機能は、漏洩したパスワードに代わる強力で複雑なパスワードを作成し、クレデンシャルスタッフィングの可能性を制限するのに役立ちます。

迷惑リンクや添付ファイルをクリックしない

電子メール、テキストメッセージ、その他のメッセージングプラットフォームを通じて迷惑リンクや添付ファイルを受け取った場合は、クリックしないようにしましょう。これらのリンクや添付ファイルにはマルウェアが含まれている可能性があり機密情報が盗まれたり、スパイ行為に利用されたりする可能性があります。

リンクが安全かどうか確信が持てない場合は、リンクの上にマウスカーソルを置いてウェブサイトの完全なアドレスを確認するか、Google 透明性レポートのようなツールを使用してください。

メールスキャナーを使う

電子メールスキャナは、電子メールの添付ファイルをスキャンして、潜在的なマルウェアを検出するツールです。電子メールスキャナーに対価を払うことで、電子メールによるフィッシング詐欺から身を守ることができます。

フィッシング攻撃から身を守る方法
フィッシング攻撃からビジネスを保護する方法

フィッシング攻撃からビジネスを保護する方法

従業員教育

フィッシングの危険性、フィッシングの種類、攻撃を防ぐ方法について従業員を教育しましょう。また、無作為にフィッシングテストを実施し、チームの警戒心を保つこともできます。

ビジネス用パスワードマネージャー

ビジネス用のパスワード管理ソリューションを使用すると、組織のパスワードが安全に保管され、適切な人物だけが利用できるようになります。例えば、Keeper Security は、特定の認証情報と記録を閲覧できる人を制限するために、ロール(役割)ごとにアクセス機能と共有フォルダを提供します。また、Keeper Security の強固なビジネス機能には、パスワード監査とレポート作成も含まれており、チームのパスワード衛生に役立つ最新情報を提供するので、簡単にパスワードポリシーを強制することができます。

ウイルス対策ソフトウェアを使用する

ウイルスソフトウェアは、従業員のデバイスにダウンロードされたマルウェアを検出、隔離、削除します。また、電子メールや特定のファイル、デバイス上の経路をスキャンして、マルウェアやその他のウイルスを検出することもできます。無料およびエンタープライズレベルのウイルス対策プログラムは、オンライン上で多数見つけることができます。

Keeper はフィッシング攻撃からユーザー、ご家族、ビジネスを保護いたします。

日本語 (JP) お問い合わせ