フィッシングとは?

フィッシングはサイバーセキュリティ攻撃の一種で、悪意のある攻撃者が信頼できる個人や団体になりすましてメッセージを送信します。 フィッシング メッセージはユーザーを操作し、悪意のあるファイルのインストール、悪意のあるリンクのクリック、アクセス資格情報などの機密情報の漏洩などのアクションを実行させます。

フィッシングは、ソーシャルエンジニアリングの最も一般的なタイプであり、コンピューターユーザーを操作またはだます試みを表す一般的な用語です。 ソーシャルエンジニアリングは、ほぼすべてのセキュリティインシデントで使用される脅威ベクトルとしてますます一般的になっています。 フィッシングなどのソーシャルエンジニアリング攻撃は、マルウェア、コードインジェクション、ネットワーク攻撃などの他の脅威と組み合わされることがよくあります。

Forrester Wave for Email Security レポート Harmony Email & Collaboration

フィッシングとは? フィッシング攻撃の種類

フィッシング攻撃:統計と例

Checkpoint Researchは最近、フィッシング攻撃やその他の主要なサイバー脅威に関するデータを提供する 2023年中間サイバーセキュリティレポートを発表しました。

According to the report, phishing attack was one of the most common methods for spreading malware. The rise of generative AI has recently elevated the phishing threat, helping to eliminate the typos and grammatical errors that made past phishing attacks earlier to detect.

フィッシングは、主要なマルウェアの亜種で使用される一般的な手法でもあります。 例えば、2023年上半期に最も多く見られたマルウェアであるQbotは、感染メカニズムとしてフィッシングを利用することで知られています。

フィッシングのしくみ

フィッシング攻撃の基本的な要素は、電子メール、ソーシャル メディア、またはその他の電子通信手段によって送信されるメッセージです。

フィッシング詐欺師は、公共のリソース、特にソーシャルネットワークを使用して、被害者の個人的および仕事上の経験に関する背景情報を収集する可能性があります。 これらの情報源は、潜在的な被害者の名前、役職、電子メールアドレス、興味や活動などの情報を収集するために使用されます。 フィッシング詐欺師は、この情報を使用して、信頼性の高い偽のメッセージを作成できます。

通常、被害者が受信する電子メールは、既知の連絡先または組織から送信されたように見えます。 攻撃は、悪意のある添付ファイルや悪意のあるWebサイトへのリンクを介して実行されます。 攻撃者は、被害者の銀行、職場、大学などの信頼できるエンティティが所有しているように見える偽のWebサイトを設定することがよくあります。 攻撃者は、これらのWebサイトを介して、ユーザー名やパスワード、支払い情報などの個人情報を収集しようとします。

フィッシングメールの中には、コピーライティングが不十分であったり、フォント、ロゴ、レイアウトが不適切に使用されたりすることで識別できるものがあります。 しかし、多くのサイバー犯罪者は、本物そっくりのメッセージを作成するのが巧妙になり、プロのマーケティング手法を使用して電子メールの有効性をテストし、改善しています。

一般的なフィッシングの手口

メールフィッシング

フィッシング詐欺師は、さまざまな手法を使用して、攻撃をターゲットに忠実に見せ、目的を達成します。 一般的なフィッシングの手口には、次のようなものがあります。

  • ソーシャルエンジニアリング: ソーシャルエンジニアリング は、心理学を利用してフィッシング攻撃の標的を操作します。 フィッシャーは、目的を達成するために、欺瞞、強要、賄賂、またはその他の手法を使用する場合があります。
  • タイポスクワッティング: フィッシング詐欺師は、正規の信頼できるドメインと非常によく似たドメインとURLを使用する場合があります。 ターゲットが十分な注意を払っていない場合、リンクが正当であると信じている可能性があります。
  • なりすましメール:なりすましメールは、メールの表示名がメール受信者が信頼するユーザーのものになるように設計されています。電子メールの送信者フィールドは単なるデータであり、送信者の管理下にあります。 フィッシング詐欺師は、この事実を利用して、信頼できるメールアカウントからメールが送信されたように見せかけます。
  • URL短縮: bit.ly のようなリンク短縮サービスは、URLのターゲット先を隠します。 フィッシング詐欺師はこれを利用して、ターゲットを騙してフィッシングページへのリンクをクリックさせます。
  • 悪意のあるリダイレクト: リダイレクトは、元の URL が利用できない場合、正しくない場合、または古くなっている場合に、ブラウザを別のページに送信するように設計されています。 悪意のあるリダイレクトは、正規のページではなく、ユーザーをフィッシングページに誘導するために使用される可能性があります。
  • 隠しリンク: リンクは、一見無害なテキストや画像に隠されている可能性があります。 ユーザーが誤って非表示のリンクをクリックすると、フィッシング ページに移動します。

フィッシング攻撃の5種類

#1.メールフィッシング

ほとんどのフィッシング攻撃は電子メールで送信されます。 攻撃者は通常、実際の組織を模倣した偽のドメイン名を登録し、被害者に何千もの一般的なリクエストを送信します。

偽のドメインの場合、攻撃者は文字を追加または置換する可能性があります(例:mybank.com ではなく my-bank.com)。 サブドメイン(例:mybank.host.com)を使用する。 または、信頼できる組織の名前を電子メールのユーザー名として使用します(例:mybank@host.com)。

多くのフィッシングメールは、緊急性や脅威を利用して、メールの送信元や信憑性を確認せずにユーザーに迅速に対応させます。

電子メール フィッシング メッセージには、次のいずれかの目的があります。

  • ユーザーに悪意のある Web サイトへのリンクをクリックさせ、デバイスにマルウェアをインストールさせる。
  • ユーザーに感染したファイルをダウンロードさせ、それを使用してマルウェアを展開する。
  • ユーザーに偽の Web サイトへのリンクをクリックさせ、個人データを送信させる。
  • ユーザーに返信させ、個人データを提供させる。

#2.スピアフィッシング

スピアフィッシングには 、特定の人に送信される悪意のあるメールが含まれます。 攻撃者は通常、被害者に関する次の情報の一部またはすべてを既に持っています。

  • 名前
  • 勤務先
  • 役職
  • アドレス
  • 職務に関する具体的な情報
  • 信頼できる同僚、家族、その他の連絡先、および彼らの文章のサンプル

この情報は、フィッシングメールの有効性を高め、被害者を操作して送金などのタスクや活動を実行させるのに役立ちます。

#3.捕鯨

捕鯨攻撃は 、上級管理職やその他の特権的な役割を標的にしています。 捕鯨の最終的な目的は、他の種類のフィッシング攻撃と同じですが、その手法は非常に巧妙であることがよくあります。 通常、上級従業員はパブリックドメインに多くの情報を持っており、攻撃者はこの情報を使用して非常に効果的な攻撃を仕掛けることができます。

通常、これらの攻撃は、悪意のあるURLや偽のリンクなどのトリックを使用しません。 代わりに、被害者に関する調査で発見した情報を使用して、高度にパーソナライズされたメッセージを活用します。 たとえば、捕鯨の攻撃者は、偽の納税申告書を使用して被害者に関する機密データを発見し、それを使用して攻撃を仕掛けるのが一般的です。

#4.スミッシングとビッシング

これは、書面によるコミュニケーションの代わりに電話を使用するフィッシング攻撃です。 スミ ッシングには不正なSMSメッセージの送信が含まれますが、ビッシングには電話での会話が含まれます。

典型的な音声フィッシング詐欺、詐欺、不正行為では、攻撃者はクレジットカード会社や銀行の不正、詐欺、不正行為の調査員になりすまし、被害者にアカウントが侵害されたことを知らせます。 次に、犯罪者は被害者に支払いカード情報を提供するように求めますが、これはおそらく身元を確認するためか、安全なアカウント(実際には攻撃者のアカウント)に送金するためです。

ビッシング 不正、詐欺、不正行為には、信頼できるエンティティを装った自動電話が含まれ、被害者に電話のキーパッドを使用して個人情報を入力するように求める場合もあります。

#5.アングラーフィッシング

これらの攻撃は、有名な組織に属する偽のソーシャルメディアアカウントを使用します。 攻撃者は、正規の組織を模倣したアカウントハンドル(「@pizzahutcustomercare」など)を使用し、実際の企業アカウントと同じプロフィール写真を使用します。

攻撃者は、消費者がソーシャルメディアチャネルを使用してブランドに苦情を申し立てたり、支援を要求したりする傾向を利用します。 しかし、消費者は本物のブランドに連絡する代わりに、攻撃者の偽のソーシャルアカウントに連絡します。

攻撃者は、このような要求を受けた場合、問題を特定して適切に対応できるように、顧客に個人情報の提供を求める場合があります。 また、攻撃者は偽のカスタマーサポートページへのリンクを提供しますが、これは実際には悪意のあるWebサイトです。

フィッシングの兆候とは?

 

脅威や切迫感

ネガティブな結果をもたらすと脅迫するメールは、常に懐疑的に扱う必要があります。 もう一つの戦略は、緊急性を利用して、即時の行動を促したり要求したりすることです。 フィッシング詐欺師は、メールを急いで読むことで、内容を徹底的に精査したり、矛盾を発見したりしないことを望んでいます。

メッセージスタイル

フィッシングの直接的な兆候は、メッセージが不適切な言葉やトーンで書かれていることです。 たとえば、職場の同僚が過度にカジュアルに聞こえたり、親しい友人がフォーマルな言葉を使ったりすると、疑いの目を向けることになります。 メッセージの受信者は、フィッシング メッセージを示す可能性のある他のものを確認する必要があります。

異常な要求

メールが標準以外のアクションを実行する必要がある場合は、そのメールが悪意のあるものであることを示している可能性があります。 たとえば、特定の IT チームからのメールを装い、ソフトウェアのインストールを依頼しているが、これらのアクティビティは通常 IT 部門によって一元的に処理されている場合、そのメールは悪意のあるものである可能性があります。

言語エラー

スペルミスや文法の誤用もフィッシングメールの兆候です。 ほとんどの企業は、送信メールのスペルチェックをメールクライアントで設定しています。 したがって、スペルや文法に誤りがあるメールは、主張された送信元から発信されていない可能性があるため、疑いを抱かせる必要があります。

Web アドレスの不整合

潜在的なフィッシング攻撃を特定するもう一つの簡単な方法は、一致しないメールアドレス、リンク、ドメイン名を探すことです。 たとえば、送信者のメールアドレスと一致する以前の通信を確認することをお勧めします。

受信者は、実際のリンク先を確認するには、クリックする前に必ずメール内のリンクにカーソルを合わせる必要があります。 メールがバンク・オブ・アメリカから送信されたと思われるが、メールアドレスのドメインに「bankofamerica.com」が含まれていない場合、 これはフィッシングメールの兆候です。

資格情報、支払い情報、またはその他の個人情報の要求

多くのフィッシングメールでは、攻撃者は公式のように見えるメールからリンクされた偽のログインページを作成します。 偽のログインページには、通常、ログインボックスまたは金融口座情報の要求があります。 メールが予期しないものである場合、受信者はログイン資格情報を入力したり、リンクをクリックしたりしないでください。 予防策として、受信者は電子メールの送信元と思われるWebサイトに直接アクセスする必要があります。

フィッシング攻撃から組織を守る5つの方法

ここでは、組織がフィッシング攻撃のリスクを軽減する方法をいくつか紹介します。

#1.従業員意識向上研修

フィッシング戦略を理解し、フィッシングの兆候を特定し、疑わしいインシデントをセキュリティチームに報告できるように従業員をトレーニングすることが最も重要です。

同様に、組織は、Webサイトを操作する前に、有名な サイバーセキュリティ またはウイルス対策会社のトラストバッジまたはステッカーを探すように従業員に奨励する必要があります。 これは、Webサイトがセキュリティに真剣に取り組んでおり、おそらく偽物や悪意のあるものではないことを示しています。

#2.メールセキュリティソリューションの導入

最新のメールフィルタリングソリューションは、メールメッセージ内のマルウェアやその他の悪意のあるペイロードから保護できます。 ソリューションは、悪意のあるリンク、添付ファイル、スパムコンテンツ、およびフィッシング攻撃を示唆する可能性のある言語を含む電子メールを検出できます。

メールセキュリティソリューションは、不審なメールを自動的にブロックして隔離し、サンドボックス技術を使用してメールを「爆発」させ、悪意のあるコードが含まれているかどうかを確認します。

#3.エンドポイントの監視と保護を活用する

職場でのクラウドサービスや個人用デバイスの使用の増加により、完全に保護されていない可能性のある多くの新しいエンドポイントが導入されています。 セキュリティチームは、一部のエンドポイントがエンドポイント攻撃によって侵害されることを想定する必要があります。 エンドポイントのセキュリティ脅威を監視し、侵害されたデバイスに迅速な修復と対応を実装することが不可欠です。

#4.フィッシング攻撃テストの実施

フィッシング攻撃テストのシミュレーションは、セキュリティチームがセキュリティ意識向上トレーニングプログラムの有効性を評価し、エンドユーザーが攻撃をよりよく理解するのに役立ちます。 従業員が不審なメッセージを見つけるのが得意であっても、実際のフィッシング攻撃を模倣するために定期的にテストする必要があります。 脅威の状況は進化し続けており、サイバー攻撃のシミュレーションも進化する必要があります。

#5.価値の高いシステムやデータへのユーザーアクセスを制限

ほとんどのフィッシング手法は、人間のオペレーターを騙すように設計されており、特権ユーザーアカウントはサイバー犯罪者にとって魅力的なターゲットです。 システムやデータへのアクセスを制限することで、機密データを漏洩から守ることができます。 最小特権の原則を使用し、絶対に必要なユーザーにのみアクセス権を付与します。

Phishing Protection and Prevention with Check Point

Check Point Harmony Email and Collaboration provides robust anti-phishing defense, effectively countering phishing attacks. Recognized as a Leader in the 2023 Forrester Wave for Enterprise Email Security, it offers advanced protection for your organization. To learn more about how Harmony Email and Collaboration can safeguard your organization from the newest phishing threats, request a free demo today.

×
  Feedback
このWebサイトでは、機能、分析、およびマーケティング上の目的でCookieを使用しています。本Webサイトの使用を継続した場合、Cookieの使用に同意したことになります。詳細については、Cookieについてのお知らせをご覧ください。
OK