フィッシング
フィッシングとは
フィッシングは、銀行口座の詳細、パスワード、その他の個人情報などの機密情報を盗むことを目的としたサイバー攻撃の一種です。攻撃者は、自分の身元を隠し、信頼できる情報源からのものであるかのように装ってターゲットを誘い込みます。
フィッシングメールとは
個人情報を盗んだり悪用したりするための手段として使用されるメールは、フィッシングメールと呼ばれます。
サイバー犯罪者は、電話やメッセージサービス(SMS、ソーシャルメディアメッセージなど)をツールとして使用し、ターゲットを罠にかけることもあります。
フィッシングメールの例:
' 件名: 注意!アカウントは無効化されました
お客様が信頼する(会社名)のアカウントが、未確認のため無効化されたことをお知らせいたします。
PDFファイルをダウンロードして、アカウントを有効化する手順に従ってください。
ありがとう '
上記の例では、送信者の身元が偽装されて信頼を確立しています。メールの件名には緊急性があり、これにより返信の可能性が高まります。ターゲットがファイルをダウンロードすると、セキュリティの侵害が発生し、パスワードや銀行口座の詳細、ビジネスメール詐欺(BEC)などのユーザーの機密情報に即座に脅威をもたらします。
フィッシングの種類
- スピアフィッシング: 一般的なフィッシングやグループフィッシングとは異なり、ターゲットを絞ったフィッシング手法です。攻撃者はソーシャルメディアなどの情報源を通じてターゲットに関する情報を収集し、ターゲットのフルネーム、会社名、職位、または職務の詳細などを含むパーソナライズされたメールを送信します。ターゲットに関する情報を収集することで、彼らを欺くことが容易になります。
- ホエーリング: 企業の上級幹部をターゲットにすることを指します。攻撃者が上級幹部を引き込むのは難しいため、ホエーリング攻撃のために作成されたコンテンツは、政府機関、裁判所、または顧客からのものであるかのように見せかけられます。
- スミッシングとビッシング: フィッシング攻撃は電話を使用して行われます。スミッシングはテキストメッセージを使用し、ビッシングは音声通話を欺瞞の手段として使用します。
- クローンフィッシング:この攻撃には二つのレベルの妥協があります。最初のステップでは、攻撃者が送信者または受信者のメールの内容をハッキングします。次のステップでは、攻撃者が正当なメール内のファイルをマルウェアに置き換え、送信者の身元を模倣します。
アングラーフィッシング: ソーシャルメディアは、企業や金融機関、政府機関とやり取りするための人気のあるチャネルとなっています。ソーシャルメディア上のフィッシング攻撃は、ユーザーの興味に関する情報が自由に利用できるため、非常にターゲットを絞ったものになる可能性があります。攻撃者は、偽のツイート、投稿、または悪意のあるURLをターゲットに共有し、本当の身元を偽装します。これをアングラーフィッシングと呼びます。
ソーシャルメディアユーザーが十分に注意を払い、認証済みの企業アカウントとだけやり取りすることで、これらの攻撃を回避することができます。
フィッシングを防ぐ方法
フィッシングコミュニケーションの識別と回避: フィッシングコミュニケーションは偽装された身元で行われます。送信者の名前、メールアドレス、ドメイン名を確認してからメールに返信することで、フィッシングの罠に陥るリスクを軽減できます。
フィッシングコミュニケーションの内容は、一般的に緊急の口調で、個人情報や機密情報を求めたり、金銭的な報酬を提供したり、マルウェアを含むファイルをダウンロードするよう指示したりします。
- 従業員の意識を高める: どの組織においても、セキュリティとプライバシーの基準は最も弱い部分に依存します。従業員はフィッシング攻撃に対して脆弱であるため、セキュリティとプライバシーが侵害される試みがあった場合に必要となるすべての情報を提供する必要があります。
- SPF、DKIM、DMARCの実装:プロトコルをDNSに設定することは、大きく分けて二つの目的があります。メールの認証と暗号化です。メールの認証は送信者の身元が確認されていることを保証し、暗号化されたメッセージはメールの内容が改ざんされていないことを示します。