スカイスナッグ・ブログ

フィッシングとは何か?

2023年10月11日 9 min read

フィッシングとは、サイバー犯罪者がインターネット・ユーザーを騙すために悪意のある電子メールを送信することである。これは、詐欺師が人間の心理を利用し、何も考えずに行動するように人々を操るソーシャル・エンジニアリングの一形態である。その目的は、財務情報、システム認証情報、クレジットカード番号など、ユーザーの機密データにアクセスすることです。

フィッシングメールは信頼できる送信元から送られてきたように見せかけ、被害者は騙されてメールを開いてしまう。一旦開封されると、これらのメールはマルウェアを拡散し、データを盗み出す。通常、フィッシング攻撃では、偽造、模倣、ミスディレクションなどのテクニックが不可欠な役割を果たします。

フィッシングの歴史

フィッシングは新しい概念だと思われるかもしれないが、1990年代半ばから使われている。その始まりは、ハッカーがAOLの社員になりすまして 漁る 情報を提供した。当時、AOLは有名なコンテンツ・システムであったため、詐欺師たちは被害者をだますことに成功した。被害者に認証情報を漏らさせ、アカウントを乗っ取ったのだ。

その後、2000年代に入ると、サイバーフィッシングが銀行分野で目立つようになった。サイバー犯罪者は銀行口座の方が儲かると判断し、ユーザーを誘い込んで金融情報を暴露させた。銀行の通知を模倣したフィッシング・メールが大量に送信され、疑うことを知らないユーザーの資金を盗んだ。

時代とともにフィッシングは進化し、Paypalフィッシング、Amazonフィッシング、Appleフィッシング、スピアフィッシングなど、より多くのバリエーションが出てきている。詐欺師はさらに進化しており、本物に似せた巧妙な電子メールを使い、評判の良い組織を模倣している。今日に至るまで、フィッシングはオンライン・コミュニティが日々直面する問題であり続けている。

蔓延するフィッシング問題

フィッシングは安価に行えるため、人を騙すのに広く使われている。電子メールアドレスは簡単に入手でき、電子メールを送信するコストはゼロである。そのため、フィッシング・メールはサイバー犯罪者にとっては容易な資金源となっている。

しかし、フィッシングの影響は決して安いものではない。毎日何百万人もの人々が詐欺に遭っているため、全体として社会が被るコストは莫大である。ひとつひとつの金額は小さくても、積み重なれば数十億にもなる。FBIのIC3によると、フィッシングによる損失は18億を超えると報告されている。

金銭的な損失以外にも、フィッシングは重大なデータ漏洩を引き起こしている。企業の世界では、フィッシングはより大規模な攻撃の足がかりを得るために使われることが多い。2013年のターゲットの情報漏えいのように、多くの情報漏えいは1通のフィッシング・メールから始まり、雪だるま式に大規模なスキャンダルに発展する。

フィッシング攻撃はまた、社会的にも悪影響を及ぼす。フィッシングメールは、納税記録、医療情報、財務データなどの個人を特定できる情報(PII)を暴露する可能性があるため、プライバシーに関する懸念が生じる。さらに、フィッシングはサイバー犯罪者にソーシャルメディアやその他のアカウントへの直接アクセスを与え、これらのプラットフォームのクラッシュを引き起こす可能性もある。

フィッシング統計

フィッシング攻撃は個人と組織の両方に壊滅的な結果をもたらすため、無視することはできない。以下に示すフィッシングの統計を見ることで、その蔓延と深刻さを理解することができる:

  1. 2020年だけで241,324件のフィッシング攻撃が報告されている。
  2. 2019年から2020年にかけて、フィッシングインシデントはなんと110%も増加した。
  3. 米国の調査回答者100人のうち、75人がフィッシングの餌食になったことがある。

そのため、誰もが自分自身を守るためにフィッシングについて学ぶ必要がある。この大規模な問題の詳細については、こちらをお読みください。

フィッシングメールの見分け方

フィッシング攻撃から身を守るためにまず知っておくべきことは、悪意のあるメールの見分け方である。これらのメールには、簡単に識別できる典型的なパターンが含まれています:

言葉遣いだ:

ほとんどの詐欺師は、無実のユーザーをおびき寄せるために恐怖を利用します。読者が何も考えずに行動するよう、メールに切迫感を与えるのだ。残念なことに、フィッシングの知識がある人であっても、恐怖に負けてこのような詐欺の餌食になってしまうことがある。

ほとんどのフィッシングメールは、指定されたリンクをクリックしないと、アカウントが制限されたり、デバイスにマルウェアが広がったりすることをユーザーに伝えます。リンクはマルウェアを拡散させ、ハッカーに機密データへのアクセスを与えるものだ。

サイバー犯罪者は、好奇心を誘うためにインセンティブを使うことがある。40ドルの投資で400ドルのリターンが得られる、1000ドルの宝くじが当たった、などといった文言を攻撃者が使うのはよくあることだ。彼らは、ユーザーが警告サインを無視して引っかかるように、それが本物で有利に聞こえるようにします。ほとんどのユーザーは、失うものはほとんどないと考えているため、このような電子メールに応答し、結局多くの損失を被ることになる。

以下は標準的なフィッシング・メールの例である:

誤字脱字のあるフィッシングメールの例

上記の通り、フィッシングメールの挨拶は、大量に送信される一般的なものです。ですから、用心深く、目を離さないようにしてください。そのメールが本物かどうかわからない場合は、差出人のアドレスをチェックして正当性を判断しましょう。フィッシング・メールであれば、わずかな食い違いがあるため、赤い警告を出すことができます。

使用されるメカニズム

メール本文を本物らしく見せかけた後、フィッシング・メールで次にやってくるのは、情報を盗む手口だ。主に詐欺師は3つの方法を用いる。悪意のあるファイルを添付する方法、ウェブリンクを挿入する方法、不正なデータ入力フォームを使う方法です。それぞれについて個別に説明する。

これは詐欺師が使う最も一般的な手口である。この手法では、詐欺師は悪意のあるリンクを挿入し、ユーザーをフィッシング・ウェブサイトやマルウェアに感染した偽者のページに誘導する。

これらのURLは、信頼できるサイトからの本物のリンクのように偽装されていますが、細かい構文の違いがあります。また、メール内のロゴや画像に埋め込まれていることもあります。間違ってクリックしないようにしましょう。

フィッシング・リンクは、添付ファイルやデータ・フォームよりも危険性が低いとユーザーが判断するため、実行可能性が高い。ユーザーは何も考えずにリンクをクリックし、簡単に罠にかかってしまう。

以下は、悪意のあるリンクを含む電子メールの例である。

悪質なウェブリンク

悪意のある添付ファイル

フィッシングメールには、ウェブリンクの代わりにファイルが添付されていることがあります。これらは正規の添付ファイルを装っていますが、コンピュータのオペレーティング・システムを危険にさらすマルウェアに感染しています。

このファイルには通常、悪意のあるマクロやシェルスクリプトを含むMs.Office文書が含まれています。これらのファイルをダウンロードすると、PC上のファイルを凍結させるランサムウェアなどのマルウェアが拡散されます。これらのファイルはまた、パスワードやその他の機密情報など、あなたが入力したすべてのものを追跡するために、あなたのデバイスにキー入力ロガーをインストールするために使用することができます。

追記:このようなマルウェアを含むフィッシングは、1つのデバイスに関わるものではないことを理解しておく必要がある。フィッシングは、接続されたネットワーク、クラウドシステム、共有ハードディスクなどを介して、あるシステムから別のシステムへと感染を広げていく。そのため、フィッシングは速いスピードで広がっていく。

以下は、悪意のある添付ファイルを含む電子メールの例である。

悪意のある添付ファイル

不正なデータ入力フォーム

フィッシング・メールによく使われるもう1つの仕組みは、データ入力フォームである。これらは主に、ユーザーID、クレジットカード番号、パスワードなどの機密情報を蓄積するために設計されている。メールは、読者にその場で情報を入力し、送信するよう促すような口調で書かれている。

ユーザーが進んで情報を提供すると、サイバー犯罪者はそれを個人的な利益のために悪用することができる。通常、詐欺師は政府機関を模倣し、疑うことを知らない個人を説得して、確定申告やその他の民事目的のために不正なフォームに記入させる。

しかし、政府が市民に電子メールで連絡したり、そのようなルートで機密データを求めたりしないことは、皆さんもよくご存知のはずだ。だから、これらのフォームは赤旗を掲げるべきだ。

以下は、データ入力フォームを含む偽メールの例です:

不正なデータ入力フォーム

件名

件名もまた、正規のメールとフィッシングメールを見分ける上で重要な要素です。フィッシング攻撃では、件名はユーザーが餌に乗るかどうかを決定する重要な役割を果たします。

そこで攻撃者は、メールの件名が恐怖心や好奇心を煽るようにする。この2つの感情をうまく利用すれば、ユーザーに悪意のあるメールをクリックさせることができる。

通常、件名は配送の問題や銀行口座の問題など、ユーザーの苦痛を強調するものです。ユーザーが送信者アドレスのドメインに用心していないと、簡単にだまされてメールを開いてしまいます。メールが開封されると、詐欺師は機密情報を漏らす可能性が高まります。

一般的な件名のメールの例です:

コストコからのフィッシングメールの例

フィッシング攻撃の種類

フィッシングの基本を知っていても、セキュリティの専門家を含め、ユーザーはこのような攻撃の餌食になる可能性がある。これは、サイバー犯罪者がその手口を更新し続けているためである。技術の進歩やオンライン取引の増加に伴い、フィッシング攻撃も進化しており、回避するのが難しくなっている。

フィッシングはもはや、大量のスパムや単純なデータ窃盗に限定されるものではない。それどころか、攻撃者は大規模なキャンペーンを展開する新しい方法を考え出しつつある。これらの攻撃は、フィッシングの種類によっては誰にでも向けられる可能性がある。

フィッシングの主な種類には以下のようなものがある:

1.スピアフィッシング:

フィッシングの標的型とは、特定の個人、特に地位の高い従業員や機密情報保有者にパーソナライズされた電子メールを送信するものである。

2.CEOの不正:

これはスピアフィッシングの一種であるが、組織の上層部の従業員を標的にするのではなく、若手の従業員を攻撃する。詐欺師はCEOのような高官を模倣し、部下に送金や非倫理的な行動をとるよう圧力をかける。

3.スミッシング:

これはSMSフィッシングの略で、詐欺師がSMSメッセージを使ってユーザーを騙し、悪意のあるウェブサイトを開かせるというものだ。

4.ビッシング:

ボイス・フィッシングとは、音声変更ソフトウェアを利用し、非常に説得力のある緊急の電話メッセージを残すことで被害者を狙うフィッシングの一形態である。

5.AmazonフィッシングとPaypal詐欺メール

アマゾン、イーベイ、アップル、ペイパルは、それぞれの業界における大企業であるため、詐欺師にとって大きな標的となっている。これらのプラットフォームには何百万人ものユーザーがいるため、サイバー犯罪者はこれらの評判の良いブランドを模倣したEメールを送信することが便利だと感じています。PayPalの偽メール、アップルのフィッシングメール、amazonの詐欺メール、アップルのフィッシングメールなどです。

6.「邪悪な双子」Wi-Fi:

その名が示すように、このフィッシング攻撃では、詐欺師が無料Wi-Fiを使い、ユーザーを騙して悪意のあるホットスポットに参加させる。いったん被害者と接続すると、それを悪用して中間者攻撃(man-in-the-middle exploit)を行う。

しかし、フィッシングは上記の種類だけに限定されるものではないことを覚えておいてほしい。時代とともに、より多くの形態が明るみに出てきている。また、新しいオンライン・プラットフォームが普及するにつれて、さまざまなフィッシングが誕生している。例えば、ネットフリックスの利用者の増加により、ネットフリックス詐欺メールが一般的になっている。

そのため、自分自身や組織を守るためには、フィッシングがどのような形で行われるかを認識し、それに応じた対策を講じる必要がある。フィッシングがどのように発生するのかを理解しやすくするために、フィッシングが発生する身近な場所をいくつか挙げてみました。

フィッシング・キャンペーンに使われる偽請求書

身近なフィッシング

フィッシングは、あなたの身の回りのいたるところに存在する。インターネットやそのツールにアクセスすれば、一般人でもこうした攻撃の餌食になる可能性があることを認識しておく必要がある。あなたが直接関与していなくても、フィッシング攻撃の結果に直面する可能性さえあるのです。

そこで、フィッシングやその様々な形態から身を守るには、用心することが唯一の方法です。フィッシング・メールがよく見られる場所をいくつか挙げてみました:

私生活において

  • 銀行口座
  • クレジット取引
  • 確定申告
  • オンライン購入
  • ローンと住宅ローン
  • ソーシャルメディア

仕事場にて

  • 企業資金の移転
  • 顧客や従業員に関する機密情報の損失。
  • 暴露された営業秘密
  • 凍結したシステムと感染したファイル
  • ダメージを受けた評判
  • コンプライアンス違反による罰金。
  • 市場シェアの低下
  • 投資家の信頼低下。

産業界では

  • 電子商取引
  • 金融市場
  • 決済システム
  • ITおよび通信企業。
  • 配送業者。
  • グーグル
  • アマゾン
  • バンク・オブ・アメリカ
  • マイクロソフト
  • アップル
  • フェデックス
  • LinkedIn

フィッシング攻撃はどこでも行われる可能性があるため、これは決して完全なリストではない。ただ、フィッシングがいかに蔓延しているか、そしてなぜフィッシングに対する認識と防御が必要なのか、その一例を示すために掲載しただけである。

フィッシング対策

フィッシングが巧妙化し、詐欺師がフィッシング・キットを使って検知されないようにするようになったため、保護の必要性がさらに高まっている。さらに、フィッシング・キャンペーンは大規模化し、犯罪者は何十ものドメインを使用して、さらに多くの人々をターゲットにしています。

サイバーセキュリティの状況は絶えず進化しているため、企業にとって、最新のフィッシング手法とその防止策について従業員を教育することが重要になっている。従業員に最新の脅威を認識させ、サイバーセキュリティを浸透させることで、フィッシング詐欺の被害を軽減することができる。

ここでは、組織でフィッシング対策を可能にする方法をいくつか紹介する:

1.フィッシング対策トレーニング・スイート

シミュレーション演習や実際の事例を含むトレーニング・スイートを通じて、従業員にフィッシング・シナリオを認識させることができる。通常、セキュリティの専門家が従業員にそっくりなフィッシング・メールを送り、従業員がそれを識別できるかどうかをチェックする。

この実践的な応用は、従業員がフィッシングを事前に認識し、将来的に実際の攻撃で危険にさらされるリスクを減らすのに役立つ。このような方法で従業員を訓練することで、組織が次のフィッシングの被害者にならないようにし、従業員を個人的な立場で守ることができる。

2.メールゲートウェイソリューション

組織はフィッシング・メールをキャッチし、分類することができるソリューションを導入することができる。疑わしい電子メールを識別し、フィルタリングするための最も効果的なツールの1つは、電子メールゲートウェイ・ソリューションである。

アナリティクスを使用することで、この監視ツールはトラフィックに異常なパターンがないか常に監視し、疑わしいメッセージを隔離します。ページ内エクスプロイトやダウンロードが多い場合は、管理者に警告を発します。この情報は、従業員への警告に使用することができ、フィッシングが成功する可能性を減らすことができます。

3.アンチウイルスのインストール

これはフィッシング対策には含まれないが、フィッシング攻撃による被害を軽減するのに役立つ。詐欺の餌食になった場合、お使いのデバイスにウイルス対策ソフトウェアをインストールすることで、マルウェアを検出して駆除することができます。ウイルス対策ソフトウェアに最新のパッチがインストールされ、最新の状態になっていることを確認してください。

4.フィッシングの報告

これは、フィッシング攻撃の後に実施されるものである。フィッシングの餌食になったり、フィッシング詐欺の次のターゲットになりそうな場合は、適切な機関に報告しなければなりません。

企業レベルでは、IT部門に報告すれば、IT部門はそれを検討し、予防策を講じることができる。個人レベルでは、FTC(連邦取引委員会)にフィッシングを報告するのが最善である!

結論

Skysnagの自動DMARCソリューションは、メールメッセージがドメインから送信されたものであることを確認することで、フィッシングや なりすましに対する防御を強化します。Skysnagは、潜在的なセキュリティ問題の調査やフィッシング攻撃による潜在的なリスクの特定に役立つDMARCレポートを 生成します。このリンクからSkysnagにサインアップしてください。 

ご興味のある方はお読みください:

ドメインのDMARCセキュリティコンプライアンスを確認する

DMARC、SPF、DKIMを数カ月ではなく数日で施行する

Skysnagは、多忙なエンジニアがDMARCを実施し、SPFやDKIMの設定ミスに対応することで、メールの配信性を向上させ、なりすましやID偽装を排除します。

無料トライアル開始
デモを予約する