フィッシング入門: フィッシング攻撃に関する初心者向けガイド

目次

• 1. フィッシングとは?

• 2.フィッシングの仕組み

• 3. フィッシングの種類

• 4. フィッシング詐欺: 概要

• 5.フィッシング攻撃を防ぐ方法

• 6. フィッシングを報告する方法

フィッシングとは?

フィッシングは、正当な機関を装った個人またはグループから電子メール、電話、またはメッセージで被害者に連絡を取るサイバー犯罪の一種と言えます。

その目的は、個人情報、銀行の詳細、クレジット カードの詳細、パスワードなどの機密データを提供するように被害者を誘導することです。その後、データは重要な標的を特定し、これらの被害者をだますために使用されます。

フィッシングは何年も前から発生しています。最初のフィッシング詐欺は、90 年代に AOL 管理者になりすました人々によって発生しました。これらの人々は、被害者からログイン資格情報を収集して、無料でインターネットにアクセスできるようにしました。

2000 年 5 月には、Love Bug と呼ばれる別のフィッシング詐欺がフィリピンで始まりました。メールボックスに「ILOVEYOU」というタイトルのメッセージが届きます。次に、メールの本文で添付ファイルをタップするように指示され、添付ファイルをタップすると、システムにウイルスがリリースされます。それ以来、フィッシングは長年にわたって複雑さと使用法を進化させてきました。

フィッシングのしくみ

月曜日の朝、メールを整理し、スパム フォルダをクリアしています。好奇心から電子メールを開くと、その内容は衝撃的です。誰かがあなたの銀行の代表者であると主張しています。

あなたのアカウントは間もなく無効になります。銀行口座を紛失しないように、リンクをクリックするか、重要な銀行情報を提供する必要があります。これがフィッシングの仕組みです。データを提供するように書かれたランダムなメッセージのようなものです。

フィッシングは、一般に操作を主なツールとして使用します。多くの場合、テキスト メッセージ、電子メール、またはソーシャル メディア メッセージで送信されるメッセージは、恐怖と切迫感を引き起こすことを目的として書かれています。ターゲットは、ソーシャル メディアなどの公開情報源で特定されます。

ターゲットの名前、役職、個人情報、電子メール アドレスが特定されると、信頼できるメッセージが作成されて送信されます。これらのメッセージには、多くの場合、悪意のあるリンク、添付ファイル、または機密情報を返信するための呼び出しが含まれています。

フィッシングの目的は、マルウェアをインストールし、被害者を詐欺 Web サイトにリダイレクトし、パスワードと銀行の詳細を取得し、標的をだますことです。フィッシング詐欺師は、さまざまな手口を使って被害者をだまし、できる限り正当に見せかけようとします。会社のロゴを使用したり、公式の電子メールを模倣したり、URL を隠したりして、被害者をだますことができます。

フィッシングの種類

フィッシングにはさまざまな種類があります。最も一般的なフィッシング詐欺の種類とその発生方法のリストをまとめました。フィッシングの種類は次のとおりです。

•電子メール フィッシング: これは最も一般的なタイプのフィッシングです。被害者は、個人アカウントが危険にさらされており、すぐに対応する必要があることを知らせる電子メールを受け取ります。電子メール フィッシングの目的は、緊急性を感じさせ、被害者に偽のログイン ページにつながる悪意のあるリンクをクリックさせることです。機密性の高い個人情報が詐欺師に直接配信されます。

•HTTPS フィッシング: HTTPS フィッシングでは、ハッカーが期限切れの SSL 証明書を使用して安全な会話にアクセスしたり、HTTPS サイトを HTTP にダウングレードして安全な Web サイトから暗号化を取り除いたりする可能性があります。その後、組織の Web サイトに似た偽の Web サイトが作成され、電子メールでリンクされます。その後、フィッシャーは組織 ID を使用して従業員に偽のメールを送信し、組織に侵入して貴重なデータを盗みます。

• スピア フィッシング: スピア フィッシングは、特定の個人、グループ、および組織を標的にするために使用されます。スピア フィッシングには、多くの場合、ターゲットと公開されている情報源に関する調査が含まれます。スピア フィッシングの目的は、個人アカウントへのアクセス権を取得すること、または機密情報を所有するスタッフだけでなく、高位のスタッフになりすますことです。通常、標的の名前、ランク、添付ファイルを含むメールが送信され、スピア フィッシングが実行されます。

•ホエーリング: ホエーリングはスピア フィッシングの一種で、通常、トップ レベルの幹部を対象としています。詐欺師は正当な情報源を装い、被害者に機密情報の共有や多額の送金を促します。多くの場合、ホエーリングは、会社の連絡先、パートナー、ベンダー、または顧客アカウントなどの信頼できるソースからの電子メールとして発生します。電子メールには、信頼できるように見えるようにインターネットから収集した個人データまたは参照が含まれていることがよくあります。電子メールには、情報を収集したりマルウェアをインストールしたりする偽の Web サイトへのリンクが含まれている場合があります。あるいは、電子メールには、給与、納税申告書、銀行口座番号などの機密データの要求、または特定の口座への電信送金の要求が含まれる場合があります。ホエーリングは、トップレベルの幹部からデータやお金を盗むために行われます。

•スミッシング: SMS フィッシングとしても知られるスミッシングは、被害者をだましてリンクをクリックさせたり、テキスト メッセージで個人情報を提供させたりするフィッシングの一種です。スミッシングは、名前、年齢、場所などの基本的なターゲット情報を使用して行われます。テキスト メッセージにリンクが含まれていると、電話を侵害するように設計された偽の Web サイトまたはマルウェアにつながる可能性があります。このマルウェアは、ユーザーの電話データを詮索したり、機密データを攻撃者が制御するサーバーに送信したりするために使用される可能性があります。スミッシングにはさまざまな形があります。困っていることを示すメッセージから、小包を獲得したことを示すメッセージまでです。

•ビッシング: ビッシングまたはボイス フィッシングは、被害者が電話や音声メッセージを通じて銀行の詳細やクレジット カード番号などの個人情報を明らかにするように操作されるフィッシングの一種です。ほとんどの場合、詐欺師は銀行、税務署、警察、政府などの評判の良い組織のふりをします。ビッシングは、脅迫や説得力のある言葉を使用して、被害者にすぐに電話をかけ直さなければ逮捕されて銀行口座を失うリスクに直面する必要があると信じ込ませることによって行われます。

• アングラー フィッシング: アングラー フィッシングは、詐欺師がソーシャル メディア プラットフォームやアカウントを使用してカスタマー サポート スタッフになりすますフィッシングの一種です。アングラー フィッシングは、通常、ソーシャル メディア上の組織のサービスに不満を持っている顧客を対象としています。これらの顧客は、偽の顧客スタッフがダイレクト メッセージを送信すると、だまされてデータを明らかにします。メッセージは、個人情報を要求するか、疑うことを知らない顧客からマルウェアをインストールしたり機密データを収集したりする偽のサイトへのリンクを要求します。

• クローン フィッシング: クローン フィッシングは、リンクを含む正当な電子メールまたは以前に送信された電子メールを使用します。クローンは正規の電子メールに似ていますが、含まれているリンクはマルウェアのリンクです。複製された電子メールは、元の送信者から被害者への再送として送信されます。被害者が複製メールのリンクをクリックすると、ハッカーは同じメールを被害者のメールボックスの連絡先に転送できます。これは特定するのが最も難しい種類のフィッシングです。クローン フィッシングには多数の被害者がいます。

•イービル ツイン フィッシング: イービル ツイン フィッシングでは、正規のアクセス ポイントを装った Wi-Fi アクセス ポイントを設定し、被害者に気付かれずに機密情報にアクセスします。詐欺師は、正規の Wi-Fi アクセス ポイントの詳細を調べて、同じ名前の同一のアクセス ポイントを作成します。被害者は Wi-Fi アクセス ポイントに接続し、悪魔の双子の Wi-Fi がワイヤレス AP になります。ハッカーは、ログイン情報、銀行の詳細、クレジット カード情報などの機密データを傍受できます。

•ソーシャル メディア フィッシング: ソーシャル メディア フィッシングは、Facebook、LinkedIn、Twitter、Instagram などのソーシャル メディア プラットフォームを利用して、被害者をだまして機密データを開示させるフィッシングの一種です。場合によっては、これらのフィッシング詐欺は、被害者がフォロワーへの支払いを求めるメッセージを受信したときに発生します。また、偽のソーシャル メディア ログイン ページへの悪意のあるリンクがメッセージに含まれている場合もあります。ログインすると、被害者の資格情報が保存され、なりすましや財務情報や個人情報へのアクセスが可能になります。

•ファーミング: フィッシングとファーミングという言葉の組み合わせとして説明されることが多いファーミングは、ユーザーを不正な Web サイトに誘導する目的で、コンピューターまたはサーバーに悪意のあるコードをインストールする詐欺手法です。ファーミングは、電子メールでコードを送信することで実行できます。これらのコードは、コンピューターが Web サイトへのアクセスに使用する IP アドレスに URL を変換するローカル ホスト サイトを変更します。ユーザーが正しい Web アドレスを入力しても、機密情報が詐欺師に渡される偽の Web サイトに誘導されます。

フィッシング詐欺: 概要

フィッシング詐欺は非常に人気があります。2021 年のVerizon Data Breach レポートによると、フィッシングは侵害の 36% に関与しています。さらに、このレポートでは、ビジネス メール侵害による損失の 95% が 250 ～ 984,855 ドルであり、ビジネス メール侵害の損失の中央値は 30,000 ドルに設定されていることが明らかになりました。これは、多くの個人や組織がフィッシング詐欺によって資金のかなりの割合を失ったことを示しています。

2019 年に Avanan が 55.5 通のメールを分析したところ、99 通に 1 通のメールがフィッシング メールであることが明らかになりました。さらに気になるのは、これらの電子メールの 70% 以上が標的によって開封されていることです。 2013 年 10 月から 2018 年 5 月までの間に、侵害されたビジネス メールによって、企業は 125 億ドルもの損害を被りました。

フィッシングは一般に、特にビジネスに多くの悪影響を及ぼします。これらの影響には、資金の損失、機密データの損失、知的財産の損失、ブランドの評判の低下、生産性の損失、業務活動の中断、およびマルウェアのインストールが含まれます。これらすべての影響とは別に、顧客は、組織が販売しようとしているビジネスや製品に対する信頼を失う可能性があります。

フィッシング攻撃の影響は、詐欺師の動機 (なりすまし、詐欺、面白半分など) によって異なります。フィッシャーがマルウェアのインストールに成功した場合、組織または個人を脅迫する可能性があります。銀行の詳細やクレジット カード情報が明らかになった場合、個人は貯蓄を失う可能性があります。フィッシングは、金銭的な損失をもたらすだけではありません。コンピューター、モバイル デバイス、およびソーシャル メディアを使用しているときに、不安感を引き起こす可能性があります。

フィッシング攻撃を防ぐ方法

フィッシング攻撃の防止には、フィッシング攻撃を特定し、それらを防止するための積極的な措置を講じるという双方向のメカニズムが必要です。フィッシング攻撃を特定する方法を知ることは、フィッシング攻撃を防止するための最初のステップです。重要な点は注意することです。 フィッシングの主な兆候に注意してください。

初めての電子メール送信者、個人情報の緊急の要求、一般的な挨拶、メッセージのスペルミス、迷惑な添付ファイル、メッセージ内の奇妙なリンク、奇妙なドメイン名などの兆候は、何かがおかしいことを明確に示しています。

職場で機密データを扱う場合は、銀行口座の詳細、カードの詳細、会社のデータなどの個人情報を要求する電子メール、電話、またはメッセージを無視する必要があります。

フィッシングを防止するには、データが詐欺師の手に渡るのを防ぐための積極的な措置を講じる必要があります。最初にすべきことは、メールやメッセージで送信された疑わしいリンクをクリックしないようにすることです。次に、フィッシング対策ブラウザーを Web ブラウザーにインストールする必要があります。また、ウイルス対策ソフトウェアをコンピュータにインストールしてください。

すべてのブラウザーとソフトウェアを最新の状態に保ち、データがフィッシング詐欺にさらされるようなデータ侵害を防ぐ必要があります。コンピュータで保護ファイアウォールを使用します。デスクトップ ファイアウォールとネットワーク ファイアウォールを使用して、システムをハッカーから保護します。また、安全でないサイトを使用しないように注意する必要があります。原則として、HTTP サイトではなく、HTTPS を使用してください。

結局のところ、これらの戦術を採用した後でも、フィッシャーから完全に安全な人は誰もいません。ただし、被害者になるリスクを減らすことはできます。

フィッシングを報告する方法

場合によっては、フィッシングの被害者にならないようにあらゆる手段を講じた後でも、フィッシャーは防御を破ることができます。自分を責めるべきではありません。解決策は、フィッシングを報告することにあります。フィッシングを報告することは、法執行機関がサイバー犯罪者を捕まえ、損失に対するセーフティ ネットを提供し、他の人がフィッシングの被害者になるのを防ぐのに役立ちます。

米国では、連邦取引委員会の Web サイトで、フィッシング メールを報告する方法が概説されています。フィッシング メールを[email protected]に転送し、苦情セクションで連邦取引委員会に犯罪を報告する必要があります。また、なりすましを受けた組織または個人に連絡し、組織内の顧客およびスタッフに通知する必要があります。

US-CERT 組織は、Anti-Phishing Working Group (APWG) と提携して、フィッシング メール メッセージと Web サイトの場所を収集しています。 [email protected] に電子メールを送信して、APWG にフィッシングを報告できます。

英国では、National Cyber Security Center (NCSC) が、詐欺メールや Web サイトを調査して削除する権利を持っています。 [email protected]に電子メールまたはスクリーンショットを送信するだけです。英国でフィッシング テキスト メッセージを受け取った場合は、そのメッセージを 7726 に転送してください。

GoogleやMicrosoftなどの組織では、Web サイトやアプリケーションでフィッシング メッセージやメールを報告できます。メッセージをクリックしてから、[詳細] ボタンと [レポート] ボタンをクリックするだけです。これらのフィッシャーを報告すると、その電子メールはブロックされ、他のユーザーはフィッシング攻撃から保護されます。

とはいえ、フィッシングのケースを報告しなければならないよりも、フィッシングを防止するほうがよいでしょう。したがって、警戒を怠らず、疑わしいメールをスパムに送信する必要があります。たった今！