概要
フィッシングとは、信頼に値する存在であることを装い、被害者を騙して機密情報を盗み出す悪質な手口です。
不審なURLや個人情報提出を急かす依頼などは、典型的なフィッシング手口です。常に警戒を怠らないでください。
この記事では一般的なメール詐欺から巧妙なスピア(標的型)フィッシングまで、さまざまなフィッシング手口をご紹介します。これを参考に、サイバーセキュリティの防御を強化してください。
はじめに
フィッシングとは、信頼に値する存在であることを装い、被害者を騙して機密情報を盗み出す悪質な手口です。この記事では、フィッシングとは何か、その仕組み、そしてこの種の詐欺を避ける方法に焦点を当てて解説します。
フィッシングの仕組み
フィッシングは主に、被害者を騙して機密情報を盗み出すソーシャルエンジニアリングを用いて行われます。攻撃者は、(ソーシャルメディアなどの)公的な情報源から個人情報を収集し、一見本物のように見えるメールを作成します。被害者には、身近な連絡先や信頼できる組織からのメールを装った悪意のあるメールが送られてきます。
悪意のあるリンクや添付ファイルをメールで送るのが最も一般的なフィッシングの形態です。こうしたリンクをクリックすると、ユーザーの端末にマルウェアがインストールされたり、個人情報や金融情報を盗み出す偽サイトに誘導されたりします。
文章が稚拙なフィッシングメールは簡単に怪しさに気付けるものの、サイバー犯罪者はチャットボットやAI音声ジェネレーターなどの高度なツールを利用し、偽装内容の信憑性を高めています。そのため、本物であるか詐欺であるかを見分けるのは困難になってきています。
フィッシング詐欺の判別
フィッシングメールの判別は難しいながらも、注意すべきいくつかの兆候があります。
一般的な兆候
メッセージに不審なURLが含まれている場合、公開されているメールアドレスが使用されている場合、恐怖や緊急性を煽る場合、個人情報を要求する場合、スペルミスや文法ミスがある場合には注意が必要です。ほとんどのリンクは、実際にクリックしなくてもリンク上にマウスのカーソルを合わせればURLを確認できます。
デジタル決済詐欺
PayPal、Venmo、Wiseなどの著名なオンライン決済サービスへのなりすましが多く見られています。ユーザーに詐欺メールが送信され、ログイン情報の確認を急かしてきます。十分に警戒し、不審な行動に遭遇した場合は関係機関に報告してください。
金融機関を装うフィッシング攻撃
銀行や金融機関になりすまし、セキュリティが侵害されたとして個人情報を引き出そうとするものです。よくある手口としては、新入社員を狙った送金詐欺や振り込め詐欺をたくらむ詐欺メールが見られます。また、緊急のセキュリティアップデートを行うと謳う場合もあります。
業務を装うフィッシング詐欺
経営幹部、CEO、CFOを装い、銀行送金や虚偽の購入を支持するパーソナライズされた詐欺です。AI音声ジェネレーターを用い電話によるフィッシングも見られています。
フィッシング攻撃を防ぐ方法
こうしたフィッシング攻撃を防ぐには、複数のセキュリティ対策の実施が重要になります。まず、リンクを直接クリックすることは避けるようにしてください。その代わりに、企業の公式ウェブサイトやチャンネルにアクセスし、受け取った情報が正当なものかどうかを確認してください。ウイルス対策ソフト、ファイアウォール、スパムフィルターなどのセキュリティツールの利用も検討に値します。
さらに、組織レベルで電子メール認証規格を採用し、受信メールを認証する必要があります。メールの認証の手段には、DKIM(DomainKeys Identified Mail)やDMARC(Domain-based Message Authentication, Reporting, and Conformance)などがあります。
個人の場合、家族や友人にフィッシングのリスクについて知らせることが重要です。企業レベルでは、リスク軽減対策として定期的な従業員へのフィッシング手口についての研修、および意識向上に向けた周知が不可欠になります。
さらなる支援や情報が必要な場合は、OnGuardOnline.govなどの政府イニシアチブ、またはAnti-Phishing Working Group Inc.などの組織を活用してください。これらの団体では、フィッシング攻撃の発見、回避、報告に関するより詳細なリソースやガイダンスを用意しています。
フィッシングの種類
フィッシングの手口は進化しており、サイバー犯罪者はさまざまな手口を用いています。通常、フィッシングの種類はターゲットと攻撃ベクトルに応じて分類されます。これについて、さらに詳しく見ていきましょう。
クローンフィッシング
攻撃者は、以前に実際に送受信やり取りのあったメールを用い、その内容をコピーして編集し直し、悪意のあるサイトへのリンクを追加します。以前のリンクが誤っていたまたは有効期限が切れたとうそぶき、リンクを更新したまたは新たなリンクを作成し直したと主張する場合もあります。
スピア(標的型)フィッシング
個人または組織に焦点を当てた攻撃の種類です。スピア攻撃は、個人情報がプロファイリングされているため、他の種類のフィッシングよりも巧妙といえます。まず被害者に関する情報(友人や家族の名前など)を収集し、このデータを使用して被害者を悪意のあるWebサイトへ誘い込みます。
ファーミング(Pharming)
DNSレコードを改ざん(DNSキャッシュポイズニング)し、正規のサイトにアクセスではなく事前に作成した不正なWebサイトに転送させるものです。ユーザー自身がDNSレコードを管理しているわけではないため、防御のしようがなく最も危険な攻撃の種類となります。
ホエーリング(Whaling)
CEOや政府関係者など、裕福で重要な地位にある人々を標的とするスピアフィッシングの一種です。
なりすましメール
フィッシングメールは一般的に、正当な企業や個人なりすましまして通信してきます。何も知らない被害者に悪意のあるサイトへのリンクを提示し、巧妙に偽装細工されたログインページを設けログイン認証情報や個人情報を盗み出します。このようなサイトでは、個人情報を盗み出すトロイの木馬やキーロガーなど悪意のあるスクリプトがインストールされている場合があります。
ウェブサイトのリダイレクト
ウェブサイトのリダイレクトでは、ユーザーが意図したURLとは異なるURLに誘導されます。様々な脆弱性を悪用してリダイレクト設定を埋め込み、ユーザーのコンピューターにマルウェアをインストールしようとします。
タイポスクワッティング(URLハイジャッキング)
タイポスクワッティングは、外来語のスペル、一般的なスペルの間違い、またはわずかに変えたトップレベルドメインを利用し、偽造ウェブサイトに誘導する手口です。正規のウェブサイトのインターフェイスを模倣したドメインを使用し、URLのタイプミスやユーザーの読み間違いなどを利用します。
偽の有料広告
有料広告も、フィッシングに使われる手口の一つとなっています。有料広告を利用することで、タイポスクワッティングを狙うドメインサイトの(偽の)広告が検索結果上位に表示されます。こうした偽サイトがGoogleの検索結果の上位に表示されることもあります。
水飲み場型攻撃
水飲み場型攻撃では、攻撃対象ユーザーが頻繁にアクセスしているウェブサイトを特定します。そうしたサイトをスキャンして脆弱性を検出し、攻撃対象ユーザーが次にそのWebサイトにアクセスした際、攻撃対象ユーザー標的にした悪意のあるスクリプトをインストールします。
なりすましと偽の景品
ソーシャルメディア上で、影響力のある人物になりすますものです。攻撃者が有名企業のリーダーになりすまし、景品の広告を出したりその他の詐欺行為を行うことがあります。ソーシャルエンジニアリングによりこの手口の被害を受けやすいユーザーを抽出し、狙い撃ちにして標的とすることすらあります。正式な認証済みアカウントをハッキングし、ユーザー名を変更して認証済みの状態を維持しながら実在の人物になりすますこともあります。
最近ではDiscord、X、Telegramのようなプラットフォームを標的にし、チャットのなりすまし、個人のなりすまし、正規のサービスの模倣などの詐欺行為が行われています。
悪意のあるアプリケーション
悪意のあるアプリを使用して、行動の監視や、機密情報を盗み出すこともあります。こうしたアプリは、価格トラッキングツール、ウォレット、その他の暗号資産関連ツール(暗号資産の取引や保有に用いる利用者のユーザーベースがあるもの)を装います。
SMSと音声フィッシング
テキストメッセージを使用したフィッシングの一種で、通常はSMSやボイスメッセージを通じて行われ、個人情報を抜き取ろうとしてきます。
フィッシングとファーミングの相違点
ファーミングをフィッシング攻撃の一種ととらえる見方もあるものの、メカニズムは異なっています。フィッシングとファーミングの主な違いとして、フィッシングでは被害者側の過失が原因となることが挙げられます。対照的に、ファーミングでは被害者側には過失はなく、正規のWebサイトにアクセスしているにもかかわらず、DNSレコードが改ざんされていることにより被害につながります。
ブロックチェーンと暗号資産分野でのフィッシング
ブロックチェーン技術はその分散型の特質により強力なデータセキュリティを実現しているものの、ブロックチェーン分野においても、ソーシャルエンジニアリングやフィッシングの手口に対して十分な警戒が必要です。サイバー空間で暗躍する犯罪者は、多くの場合、人間に元来備わる脆弱性を悪用し、秘密鍵やログイン情報を抜き取ろうとします。ほとんどの場合、詐欺被害の原因は人為的ミスとなっています。
詐欺師は、ユーザーを騙してシードフレーズを聞き出したり、偽のアドレスに資金を送金させようとしてきます。注意を払い、セキュリティ上のベストプラクティスに従うことが大切です。
まとめ
結論として、フィッシングを理解し、進化する手口について情報を入手し把握することは、個人情報と財務情報の保護管理において極めて重要になります。堅牢なセキュリティ対策、学習、アウェアネスの組み合わせにより、個人であるか組織であるかを問わず、相互に接続されたデジタル世界で常に存在し続けるフィッシングの脅威から自らの保護につながるのです。「SAFU」でいられるよう、常に意識を高く持ってください。
参考文献
免責事項:このコンテンツは、一般的な情報提供および学習素材としてのみの目的で「現状有姿」にて提供するもので、いかなる種類の表明または保証を行うものではありません。財務的、法的、またはその他の専門的なアドバイスとして解釈されるべきではなく、特定の商品またはサービスの購入の推奨を意図したものでもありません。適切な専門的顧問に独自に助言を求めるようにしてください。記事が第三者の寄稿者によって寄稿されている場合、提言されている見解は第三者の寄稿者のものであり、必ずしもバイナンスアカデミーの見解を反映したものではありません。詳細は、こちらの免責事項全文をお読みください。デジタル資産の価格は、大きく変動する可能性があります。投資した暗号資産の価値は上下する可能性があり、当初の投資額を取り戻すことができない可能性があります。投資判断についてはご自身が単独で責任を負い、バイナンスアカデミーはお客様が被る可能性のある損失に対して責任を負いません。この資料は、財務的、法的、またはその他の専門的なアドバイスとして解釈されるべきではありません。詳細は、利用規約とリスクに関する警告をご参照ください。