データ回復力におけるNo.1 グローバルリーダー
データ回復力におけるNo.1 グローバルリーダー
今すぐ試す
ミーティングを予約する
CrowdStrikeのコンテンツ更新によって影響を受けるお客様向けのVeeamのガイダンス
続きを読む

フィッシングとは?

フィッシングは、悪意のある第三者が人を騙して機密情報を提供させるソーシャルエンジニアリング攻撃の一種です。攻撃者は、信頼できる第三者から送信されたように見せかけたメッセージを送信します。フィッシング攻撃は、財務情報、ログイン情報、その他の機密データを盗むために使用できます。FTCによると、2021年に詐欺によって消費者が58億ドルもの損失を被ったことが報告されており、その中でもなりすまし詐欺が大きな割合を占めているとのことです。フィッシングとは何か、そしてそれを回避する方法を理解することは、消費者と企業の双方がデータを保護するのに役立ちます。

フィッシングの種類

フィッシングは、あらゆる通信媒体で実行できます。フィッシングの最も一般的なタイプには、次のようなものがあります。

メールフィッシング

フィッシングといえば、メールを思い浮かべる人が多いのではないでしょうか。 メールフィッシング は、それ自体がいくつかの異なるタイプに分かれています。

  • スピアフィッシング:標的型フィッシング攻撃は、スピアフィッシングとして知られています。この攻撃では、被害者に関する個人情報をすでに持っている何者かが、その情報を使用して、通信をより正当に見せかけます。
  • ホエーリング:企業の上級管理職やCEOなど、知名度の高い個人を特に標的とするフィッシング攻撃は、大きな目標を狙うことから「ホエーリング」(クジラ漁)と呼ばれます。これらの攻撃は通常非常に巧妙で、計画と実行に長い時間がかかる場合があります。
  • CEO詐欺:CEO詐欺では、攻撃者は役員やマネージャーになりすまし、従業員を騙して何かをさせようとします。
  • クローニングフィッシング:この攻撃により、ハッカーは有名なブランドからのメッセージに見せかけたメッセージを送信します。一般的なクローンフィッシング攻撃では、大手銀行、決済処理事業者、宅配業者、政府機関が偽装の対象となります。

音声フィッシング

音声フィッシング攻撃では、対象となる被害者に電話をかけて、特定の行動を実行するように説得することを試みます。発信者は、未払いの請求書を照会する回収機関や、ユーザーのコンピューターにアクセスする必要がある「テクニカルサポート」の誰かを装うことができます。

SMSフィッシング

SMSフィッシング攻撃では、悪意のある当事者は、被害者にリンクをクリックするか、メッセージに返信するように求めるテキストメッセージを送信します。これらの攻撃では、宅配便業者や政府のWebサイトが送信するようなSMSメッセージを偽造して悪用し、場合によっては送信元の番号を複製することさえあります。

ページハイジャック

ページハイジャック攻撃では、攻撃者がWebサイトのクローンを作成し、被害者をそのWebサイトに誘導します。これは、有料広告を通じて偽のページへの大量のトラフィックを生成しようとする広範な攻撃、またはページハイジャックを他の形態のフィッシングと組み合わせた、標的を絞った攻撃となる可能性があります。

カレンダーフィッシング

この攻撃は、不十分な設定のカレンダーのデフォルト設定を利用して、ユーザーのオンラインカレンダーにフィッシングリンクを仕掛けます。多くの人は、メール内のフィッシングリンクに注意するように訓練されていますが、悪意のあるリンクをカレンダーに挿入することも可能であり、これらの攻撃が成功する可能性が比較的高いことに気づいていない可能性があります。

フィッシングの手口

メッセージの配信方法は、フィッシングの一部にすぎません。また、詐欺がどのように機能するかを認識することも重要です。成功したフィッシングメールでは、メールフィルターをすり抜けて、受信者を騙してリンクをクリックさせたり、目的の行動を実行させたりするための技法がいくつか使われています。

リンク操作

リンク操作は、電子メール内のリンクを、攻撃者がなりすましているWebサイトのアドレスに見せかけるために使用されます。ただし、ユーザーがリンクをクリックすると、攻撃者のWebサイトに移動します。一部の加害者はさらに一歩進んで、通常とは異なる文字や長くて複雑なアドレスを使用して、トップレベルドメインとサブドメインの違いを理解していない可能性のあるユーザーをだます。

フィルター回避

攻撃者は、多くの場合、画像を使用してフィッシングやスパムのフィルターを回避します。多くのメールプラットフォームやソフトウェアには、スパムや悪意のあるメールをブロックするためのフィルターが備わっていますが、これらのフィルターが必ずしも画像の処理に適しているわけではありません。

ソーシャルエンジニアリング

ソーシャルエンジニアリングには、被害者を特定して信頼を築くことが含まれます。たとえば、あるユーザーがメールに返信することでフィッシング攻撃の第一段階に陥った場合、攻撃者は一度にすべての情報を要求するのではなく、もっともらしい言い訳を通じて個人情報を少しずつ徐々に知らせるよう要求します。

フィッシングの認識方法

フィッシング攻撃の試みには、スペルや句読点、文法上の誤りを多く含む比較的粗雑なメールメッセージから、特定の標的に向けて慎重に作成されたメッセージまで、さまざまなものがあります。注意すべき一般的な事項には、次のようなものがあります。

  • メッセージ送信元のメールアドレスが知らないものである
  • メールにスペルミスや文法上の誤りがある
  • ブランディングやロゴに「違和感」がある
  • メッセージ内であなたの正しい名前/ユーザー名が使われていない
  • メッセージは、発生しなかったトランザクションを参照しています
  • 予期していない添付ファイルが含まれている
  • 送信者からこれまで実行を求められたことのないアクションを実行するように求められる
  • メッセージは迷惑メールフォルダに配信されたものの、その送信者を名乗る他のメールは受信トレイに配信される

フィッシング防止のベストプラクティス

企業は、標的型フィッシング攻撃から自社を保護するうえで、セキュリティポリシーの改善や、サイバー攻撃の特定と回避に関する従業員向けトレーニングの実施など、さまざまな予防策を検討する必要があります。次のような有用な予防措置があります。

メールフィルタリングとコンテンツリダクション

可能であれば、ネットワークレベルで積極的なメールフィルタリングとコンテンツ編集を有効にします。既知のマルウェアや追跡サイトをブロックすることは、フィッシングの脅威を軽減するうえで大いに役立ちます。ユーザーのアドレス帳にないアドレスから送信されたすべてのメールに警告を表示することを検討してください。

ブラウザアラート

ユーザーが安全でないWebサイトや既知のフィッシングWebサイトに誘導された場合にアラートを表示するように設定されたブラウザを使用しましょう。ユーザーがこれらのアラートを無効にしたり無視したりできないようにします。

パスワードログインの強化

パスワードログインに加えて、追加のセキュリティ機能を使用します。たとえば、重要なシステムには生体認証セキュリティを採用できます。さらに、ログインプロセスの一環として「コンフィデンス画像」を使用すると、フィッシングサイトにアクセスしている可能性をユーザーに警告できます。

マルチファクター認証(MFA)

重要なシステムに対してMFAを有効にすることで、フィッシングやその他の形態のサイバー攻撃のリスクを軽減できます。SIMスワップ攻撃ではSMS認証が迂回される可能性があるため、SMSベースのマルチファクター認証よりもハードウェア認証の使用を検討してください。

Veeamが提供する支援

企業に対するフィッシング攻撃、特にネットワークをランサムウェアに感染させるルートを攻撃者に提供する攻撃により、企業は莫大なコストを被る可能性があります。Veeamが提供するバックアップおよび復元のソリューションとランサムウェア保護機能を活用し、貴社の重要なデータを保護する方法をご覧ください。

関連コンテンツ

ランサムウェアの身代金は支払わない
ランサムウェアの身代金は支払わない
サイバーセキュリティの脅威
フィッシング攻撃