フィッシングとは?
フィッシング攻撃とは、機密データを盗むことや損害を与えることを目的として、人々をだましてパスワードやクレジット カード番号のような個人情報を明かすよう仕向けるというものです。
フィッシング攻撃の種類
フィッシング攻撃は、信頼できる発信源に偽装するという方法で行われ、あらゆる種類の機密データへのアクセスを達成するのに利用されています。テクノロジが進化すると、サイバー攻撃も進化します。よく見られるフィッシングの種類を紹介します。
メール フィッシング
最も一般的なフィッシングの形態です。この種の攻撃では、本物に見せかけたハイパーリンクなどを使ってメール受信者をおびき寄せ、その人の個人情報を提供させるように仕向けます。攻撃者は多くの場合、Microsoft や Google のような大手アカウント プロバイダーを偽装しますが、同僚になりすますこともあります。
マルウェア フィッシング
これもよく使われているフィッシング攻撃手法であり、信頼できるメール添付ファイル (たとえば履歴書や銀行取引記録) に見せかけてマルウェアを送り込むというものです。場合によっては、マルウェアが含まれる添付ファイルを開くと IT システム全体が機能停止に陥ります。
スピア フィッシング
フィッシング攻撃のほとんどは投網漁のように大きな網を張るものですが、スピア (spear) フィッシングは魚突きのように特定の個人を標的とするものであり、攻撃者はその人の仕事や社会生活を調査して集めた情報を悪用します。このような攻撃は高度にカスタマイズされているため、基本的なサイバーセキュリティを回避するという点できわめて効果的です。
ホエーリング
企業の幹部や著名人などの大物 ("big fish") を標的とする攻撃はホエーリング (whaling) と呼ばれます。多くの場合、攻撃者は標的の人物についてかなりの調査を行い、ログイン情報などの機密情報を盗む機会を見つけています。失いたくないものが多い人物ならば、ホエーリング攻撃者にとって得るものは多いのです。
スミッシング
"SMS" と "フィッシング" からの造語であるスミッシング (smishing) では、Amazon や FedEx のような企業からの信頼できるコミュニケーションに見せかけたテキスト メッセージを送るという手法が使われます。人々が SMS 詐欺に対して特に脆弱なのは、テキスト メッセージがプレーン テキストとして送信され、より個人的な印象を与えるためです。
ビッシング
ビッシング (vishing) とは、詐欺目的のコール センターから電話を使って、相手をだまして機密情報を提供させるという攻撃です。多くの場合は、攻撃者はソーシャル エンジニアリングを使い、被害者をだましてそのデバイスに、アプリの形をしたマルウェアをインストールさせています。
フィッシングでよく使われる戦術
巧妙なコミュニケーション
攻撃者は巧みに被害者を操って機密データを提供させます。具体的には、人々があまり疑いを持たない場所 (たとえばその人のメール受信トレイ) に、悪意のあるメッセージと添付ファイルを潜ませます。受信トレイに届いたメッセージは本物だと思い込みがちですが、用心してください。フィッシング メールの多くは、見た目は安全で控えめです。だまされるのを防ぐには、あわてずに、ハイパーリンクと送信者のメール アドレスを調べてからクリックしてください。
必要性を感じさせる
人々がフィッシングにつられてしまうのは、行動が必要と思い込むからです。たとえば、履歴書に見せかけたマルウェアをダウンロードしてしまうのは、その人が人材を急募しているからであり、怪しい Web サイトで銀行の認証情報を入力してしまうのは、近々失効すると言われた口座を救いたいからです。偽の必要性を感じさせるという手口がよく使われているのは、効果があるからです。自分のデータの安全を保つには、十分に用心しながら操作するか、その大変な作業を代わりにしてくれるメール保護テクノロジをインストールします。
偽の信頼
攻撃者は人々をだますために、偽の信頼感を作り出します。どれだけ注意深い人でも、その詐欺につられてしまいます。信頼できる発信源、たとえば Google や金融機関、運送会社を偽装することによって、フィッシング攻撃者は巧みに、相手が行動を取るよう仕向けます。本人がだまされたと気づくのはその後です。フィッシング メッセージの多くは、高度なサイバーセキュリティ対策が取られていないかぎり、検出されることはありません。個人の秘密情報を保護するには、疑わしいコンテンツを特定するように設計されたメール セキュリティ技術を導入して、自分の受信トレイに届く前に破棄します。
感情に訴えて操る
攻撃者は心理的戦術を使って標的の人物を納得させ、その人はよく考えずに行動します。よく知っている発信源に見せかけて信頼を築いたら、偽の切迫感を作り出し、恐怖や不安などの感情を悪用して、攻撃者は目当てのものを獲得します。人々は、お金を失う、法的問題に巻き込まれる、あるいは絶対に必要なリソースにアクセスできなくなると言われたときに、即座に決断を下す傾向があります。"今すぐ行動" を求めているメッセージには用心してください。それは詐欺かもしれません。
フィッシング メールの危険性
フィッシング攻撃に遭ってしまった場合の結果は深刻になることもあります。たとえば、お金を失う、不正にクレジット カードに請求される、写真、ビデオ、ファイルにアクセスできなくなるといった事態のほかに、攻撃者が被害者になりすまして他者を危機に陥れることも考えられます。
職場では、雇用主から見たリスクとして、会社の資金逸失、顧客や同僚の個人情報漏えい、機密ファイルが盗まれるまたはアクセス不可になる、などがありますが、会社の評判が損なわれることについては言うまでもありません。多くの場合は、取り返しのつかない損害となります。
幸い、フィッシングに対して防御するためのソリューションは多数あり、家庭と職場の両方で利用できます。
フィッシングを防ぐための簡単なヒント
表示された名前を信用しない
メッセージを開く前に送信者のメール アドレスを確認します。表示された名前は偽装の可能性もあります。
誤字の有無を調べる
誤字脱字や文法の誤りは、フィッシング メールでよく見られます。おかしいと思ったら、警戒しましょう。
クリックする前によく見る
真正に見えるコンテンツでも、その中にあるハイパーリンクにマウス カーソルを合わせてリンク アドレスを調べます。
あいさつ文を読む
メールの書き出しが自分の名前宛てではなく「大切なお客様へ」の場合は、用心しましょう。詐欺の可能性があります。
署名を確認する
メールの末尾に連絡先情報があるかどうかを調べます。本物の送信者は、常に連絡先を記載しています。
脅威に用心する
「アカウントが一時停止されました」のような不安をあおる文言は、フィッシング メールでよく使われています。
サイバー脅威に対して防御する
フィッシング詐欺などのサイバー脅威は常に進化を続けていますが、自分自身を守るために取れるアクションは多数あります。
よく寄せられる質問
-
どのフィッシング詐欺も、一番の目標は機密情報や認証情報を盗むことです。電話かメールか SMS かを問わず、機密データや本人確認を求めるメッセージには用心してください。
攻撃者は、標的の人物にとって親しみある存在だと思わせるために、その人が既に知っているブランドまたは個人と同じロゴ、デザイン、インターフェイスを使って念入りに模倣します。常に警戒してください。リンクをクリックしたり添付ファイルを開いたりする前に、そのメッセージが本物であることを確認してください。
フィッシング メールを見分けるためのヒントをいくつか紹介します。
- 切迫した脅威や行動呼びかけ (例: 「今すぐ開いてください」)。
- 見覚えのない送信者。つまり、初めてメールを送ってきた相手です。
- 誤字や文法誤り (多くの場合は不適切な翻訳が原因です)。
- 疑わしいリンクや添付ファイル。ハイパーリンクのテキストを見ると、実際には別の IP アドレスまたはドメインであるという場合です。
見つけにくい誤字 (たとえば “micros0ft.com” や “rnicrosoft.com”)
-
- その攻撃について、覚えていることをできるだけ詳しく書き出します。渡してしまった情報、たとえばユーザー名、口座番号、パスワードなどを書き留めます。
- 影響を受けたアカウントのパスワードを直ちに変更し、同じパスワードを他の場所でも使用している場合は、そこでも変更します。
- 多要素 (2 段階) 認証を自分のすべてのアカウントで使用していることを確認します。
- 自分の情報が漏えいしてしまったことを関係者全員に伝えます。
- お金を失った、またはなりすましの被害に遭った場合は警察に通報し、米国の場合は連邦取引委員会にも通報します。ステップ 1 で記録した詳細情報を伝えます。
不注意でフィッシング攻撃に引っかかってしまったと思われる場合にすべきことは、次のとおりです。
自分の情報を攻撃者に送ってしまった後は、悪意のある他の人物にもすぐに開示されている可能性が高いことに留意してください。新たなフィッシング メール、SMS、電話が届くものと考えてください。
-
疑わしいメッセージを Microsoft Outlook の受信トレイで受け取った場合は、リボンの [メッセージを報告] を選択し、次に [フィッシング] を選択します。これが、そのメッセージを受信トレイから削除する最も速い方法です。Outlook.com では、受信トレイ内の疑わしいメッセージの横にあるチェック ボックスをオンにして、[迷惑メール] を選択し、次に [フィッシング] を選択します。
お金を失った、またはなりすましの被害に遭った場合は警察に通報し、米国の場合は連邦取引委員会にも連絡します。米国の連邦取引委員会には、この種の問題の解決専用の Web サイトがあります。
-
いいえ。フィッシングの手段として最も多いのはメールですが、攻撃者は電話や SMS メッセージ、さらには Web 検索を使って機密情報を入手しようとします。
-
スパム メールは、受信者が要求していないにもかかわらず、無関係あるいは宣伝のコンテンツを送りつける迷惑メールです。簡単に稼げるしくみや、違法な商品、偽の割引などの宣伝を目的とすることもあります。
フィッシングは、標的をさらに絞って (しかも通常はうまく偽装して) 機密データの入手を試みるものであり、被害者をだまして自発的にアカウント情報と認証情報を手渡すように仕向けます。
Microsoft Security をフォロー