フィッシング詐欺とは？手口と対策

フィッシング詐欺とは、メール、テキストメッセージ、電話、その他の通信手段を通じて個人をターゲットにする一般的なサイバー攻撃の一種です。フィッシング攻撃の目的は、受信者を騙して攻撃者の望む行動を取らせることであり、これには財務情報、システムのログイン認証情報、その他の機密情報の漏洩が含まれます。

フィッシングは、ソーシャルエンジニアリングの一般的な形式であり、心理的操作と欺瞞を伴います。脅威アクターは信頼できる組織になりすまして、ユーザーを特定の行動に導くように仕向けます。これらの行動には、偽のウェブサイトへのリンクをクリックすること、悪意のあるファイルをダウンロードしてインストールすること、銀行口座番号やクレジットカード情報などの個人情報を提供することが含まれます。

1990年代半ば以来、「フィッシング」という用語は、偽のメールを使用して無防備なユーザーから情報を「釣り出す」ハッカーを指すために使われてきました。しかし、フィッシング攻撃はますます巧妙になり、現在では、メールフィッシング、スピアフィッシング、スミッシング、ビッシング、ホエーリングなど、さまざまなタイプに分類されています。各タイプは、メール、テキスト、音声、ソーシャルメディアなど、特定のチャネルと実行方法によって特徴づけられ、すべて共通の意図を持っています。

フィッシングキャンペーンが個人を標的としているか、できるだけ多くの被害者に送られるかに関わらず、悪意のあるメッセージから始まります。攻撃は正当な会社からのメッセージとして偽装されます。メッセージが本物の会社を模倣する要素が多ければ多いほど、攻撃者が成功する可能性が高くなります。

攻撃者の目的はさまざまですが、一般的な目的は個人情報や認証情報を盗むことです。攻撃は、アカウントの停止、金銭の損失、ターゲットユーザーの仕事の喪失を脅かす緊急性をメッセージで強調することで促進されます。攻撃者の要求に騙されたユーザーは、要求が合理的かどうか、または情報源が正当かどうかを確認するために時間をかけません。

フィッシングは継続的に進化し、セキュリティフィルタや人間の検出を回避するため、組織は最新のフィッシング戦略を認識するためにスタッフの訓練を継続的に行う必要があります。フィッシングに引っかかるのは一人でも、重大なデータ漏洩を引き起こす可能性があります。そのため、フィッシングは最も重要な脅威の一つであり、人間の防御が必要なため、最も対策が難しい脅威でもあります。

サイバー犯罪者がフィッシングメールを利用するのは、簡単で安価、かつ効果的だからです。メールアドレスは簡単に入手でき、メールは事実上無料で送信できます。わずかな労力とコストで、攻撃者は貴重なデータに素早くアクセスすることができるのです。フィッシング詐欺に引っかかった人は、マルウェアの感染（ランサムウェアを含む）、個人情報の盗難、データの損失などの被害を受ける可能性があります。

サイバー犯罪者が狙うデータには、金融口座データ、クレジットカード番号、納税記録、医療記録などの個人を特定できる情報（PII）や、顧客名や連絡先、独自の製品機密、機密通信などのビジネス上の機密データが含まれます。

また、サイバー犯罪者はフィッシング攻撃を利用して、メールやソーシャルメディアなどのアカウントに直接アクセスしたり、POS端末や注文処理システムなどの接続されたシステムを変更したり、侵害するための権限を取得したりします。サイバー犯罪者は、一見何の変哲もないメールを利用して、小さな足がかりを作り、そこから発展させることができるのです。

攻撃者は、恐怖と危機感を餌にします。攻撃者は、ターゲットとなるユーザーがメールに反応しない場合、アカウントが制限される、または停止されることを伝えるのが一般的です。

通常、フィッシングメールはできるだけ多くの人に送られるため、挨拶文は一般的なものになります。

上記のメッセージでは、ユーザーの名前は出てこず、恐怖心を利用して、添付ファイルを開かせようとする緊迫感があります。

添付ファイルは、Webページ、シェルスクリプト（PowerShellなど）、悪意のあるマクロを含むMicrosoft Office文書である可能性があります。このマクロやスクリプトを利用して、マルウェアをダウンロードさせたり、ユーザーを騙してアカウント情報を流出させたりすることが可能です。

攻撃者は、公式ドメインに類似したドメインを登録したり、Gmailなどの一般的なプロバイダを利用したりすることもあります。 ユーザーがメールを受信すると、メッセージには公式の会社ロゴが使用されているかもしれませんが、送信者のアドレスには公式の会社ドメインが含まれていないでしょう。攻撃者がフィッシングキャンペーンを実行する方法は、彼らの目的によります。例えば、B2Bでは、攻撃者が偽の請求書を使用して、経理部門を騙して送金させることがあります。この攻撃では、送信者は重要ではありません。多くのベンダーがビジネスを行うために個人のメールアカウントを使用するからです。

上記画像のボタンをクリックすると、偽のGoogle認証フォームを含むウェブページが開きます。このページは、ターゲットとなる被害者にGoogleの認証情報を入力させ、攻撃者がアカウントを盗むことを目的としています。

サイバー犯罪者は、フィッシングメールの中で、悪意のあるWebリンク、悪意のある添付ファイル、不正なデータ入力フォームという3つの主要なメカニズムを用いて情報を盗みます。

悪質なWebリンク

URLと呼ばれるリンクは、一般的なメールにも、フィッシングメールにもよく含まれています。悪意のあるリンクは、ユーザーを偽のウェブサイトや、マルウェアとして知られる悪意のあるソフトウェアに感染したサイトへ誘導します。悪意のあるリンクは、信頼できるリンクに見せかけ、メール内のロゴなどの画像に埋め込まれていることがあります。

ここでは、アメリカの大学であるコーネル大学のユーザーが受信したメールの例を紹介します。送信者名として「Help Desk」と表示されたシンプルなメッセージです（ただし、メールの送信元は同大学のヘルプデスクではなく、@connect.ust.hkのドメインでした）。コーネル大学のITチームによると、メールに埋め込まれたリンクをクリックすると、Office 365のログインページのようなページが表示されるとのことです。このフィッシングメールは、ユーザーの認証情報を盗み出そうとするものでした。

悪質な添付ファイル

一見、正当な添付ファイルのように見えますが、実はマルウェアに感染しており、パソコンとその中のファイルを危険にさらす可能性があります。

国際的な配送業者であるFedExがウェブサイトで共有したフィッシングメールの文面の一例を紹介します。このメールでは、配達できなかった小包を受け取るために、添付された郵便物の領収書のコピーを印刷し、フェデックスの拠点へ持参するよう促しています。残念ながら、この添付ファイルにはウイルスが含まれており、受信者のコンピュータに感染してしまいました。この種の配送詐欺は、クリスマス商戦に特に多く見られますが、年間を通じて発生しています。

不正なデータ入力フォーム

ユーザーID、パスワード、クレジットカード情報、電話番号など、重要な情報を入力させるメールです。ユーザーがこれらの情報を送信すると、サイバー犯罪者が個人的な利益のためにそれを使用することができます。

以下は、gov.ukのWebサイトで共有されている偽のランディングページの例です。フィッシングメールのリンクをクリックすると、ユーザーはHMRCの徴税機関の一部であるかのような不正ページに誘導されます。そして、ユーザーは還付を受ける資格があるが、フォームに記入する必要があると告げられます。このような個人情報は、サイバー犯罪者によって、個人情報の盗難を含む様々な詐欺行為に利用される可能性があります。

フィッシングは、単純にクレデンシャルやデータを盗むだけでなく、進化を遂げています。攻撃者は、フィッシングの種類によって、どのようにキャンペーンを展開するかが異なります。フィッシングの種類は以下の通りです。

• メールフィッシング: ユーザーを騙して個人情報を漏洩させることを目的とした悪意のあるメールメッセージに与えられる一般的な用語です。攻撃者は通常、アカウントの認証情報、個人を特定できる情報（PII）、および企業の営業秘密を盗むことを目的としています。しかし、特定のビジネスを狙う攻撃者には、他の動機がある場合もあります。
• スピアフィッシング： 組織内の特定の人物、通常は高い権限を持つアカウント所有者に送られるメールメッセージです。
• リンク操作： メッセージには、正式な業務に見せかけた悪意のあるサイトへのリンクが含まれています。
• CEO詐欺： 主に金融関係者に送られ、CEOや他の役員が送金を依頼していると信じ込ませるためのメッセージです。
• コンテンツインジェクション： 公式サイトに不正なコンテンツを注入できる攻撃者が、ユーザーを騙してサイトにアクセスさせ、不正なポップアップを表示したり、フィッシングサイトに誘導したりします。
• マルウェア： ユーザーを騙してリンクをクリックさせたり、添付ファイルを開かせたりすることで、端末にマルウェアをダウンロードさせる可能性があります。
• スミッシング： SMSメッセージを利用して、攻撃者はユーザーを騙し、スマートフォンから悪意のあるサイトにアクセスさせる。
• ビッシング： 音声変換ソフトを使い、「この番号に電話をかけなさい」というメッセージを残します。
• Evil Twin Wi-Fi: 無料Wi-Fiを偽装し、ユーザーを不正なホットスポットに接続させ、中間者攻撃（Man-in-the-Middle Exploit）を行います。
• ファーミング: ファーミングはアカウント認証情報を盗むための2段階の攻撃です。最初の段階で、ターゲットとなる被害者のコンピュータにマルウェアをインストールし、ブラウザと偽装されたウェブサイトにリダイレクトさせて、認証情報を漏洩するように騙します。DNSポイズニングも使用してユーザーを偽装ドメインにリダイレクトします。
• アングラーフィッシング: ソーシャルメディアを利用して、攻撃者が公式組織を装って投稿に返信し、ユーザーを騙してアカウント認証情報や個人情報を漏洩させます。
• 水飲み場攻撃: 攻撃者は、多くのターゲットユーザーが使用するサイトを特定し、そのサイトの脆弱性を悪用して、ユーザーを騙してマルウェアをダウンロードさせます。ターゲットユーザーのマシンにマルウェアがインストールされると、攻撃者はユーザーを偽装ウェブサイトにリダイレクトしたり、ローカルネットワークにペイロードを配信してデータを盗んだりすることができます。

• オンラインショップ（EC）
• ソーシャルメディア
• 銀行やその他の金融機関
• 決済システム

• IT企業
• 通信事業者
• 配送業者

• Google
• Microsoft
• Amazon
• Chase
• Wells Fargo

• Bank of America
• Apple
• LinkedIn
• FedEx
• DHL

• フィッシングメールを検出するためのユーザートレーニングを実施する: 緊急性を感じさせるメッセージやパスワードを含む個人データの要求、埋め込みリンクや添付ファイルはすべて警告サインです。ユーザーはこれらの警告サインを識別し、フィッシングに対抗するためのスキルを身につける必要があります。
• リンクをクリックしない: 埋め込みリンクから直接ウェブページに認証するのではなく、公式ドメインをブラウザに手動で入力し、直接認証します。
• アンチフィッシングのメールセキュリティを使用する: 人工知能が受信メッセージをスキャンし、疑わしいメッセージを検出して隔離し、フィッシングメッセージが受信者の受信箱に届かないようにします。
• 定期的にパスワードを変更する: ユーザーは30〜45日ごとにパスワードを変更する必要があります。パスワードを長期間使用すると、攻撃者が侵害されたアカウントに無期限にアクセスできるようになります。

• ソフトウェアとファームウェアの最新状態を維持する: ソフトウェアおよびファームウェアの開発者は、バグやセキュリティ問題を修正するためのアップデートをリリースします。これらのアップデートを常にインストールして、既知の脆弱性がインフラストラクチャに存在しないようにします。
• ファイアウォールをインストールする: ファイアウォールは、インバウンドおよびアウトバウンドのトラフィックを制御します。フィッシングからインストールされたマルウェアは、静かに盗聴し、攻撃者に個人データを送信しますが、ファイアウォールは悪意のある送信要求をブロックし、さらにレビューするためにログに記録します。
• ポップアップをクリックしない: 攻撃者は、ユーザーを騙して悪意のあるサイトを開いたり、マルウェアをダウンロードさせたりするために、ポップアップウィンドウのXボタンの位置を変更します。ポップアップブロッカーは多くのポップアップを停止させますが、偽陰性が発生する可能性もあります。
• クレジットカード情報の提供に注意する: サイトが完全に信頼できることを確認しない限り、認識できないウェブサイトにクレジットカード情報を提供しないでください。贈り物や返金を約束するサイトは注意して使用するべきです。

フィッシングを検知するための社員トレーニングは、組織が次の被害者にならないようにするためのフィッシングの認識と教育において重要な要素であることが示されています。フィッシングキャンペーンは、たった一人の社員が引っかかるだけで、データ漏洩につながります。

フィッシングシミュレーションは、最新の社員教育です。アクティブなフィッシング攻撃への実践的な応用により、社員は攻撃がどのように行われるかを経験することができます。攻撃者は、より効果的なキャンペーンを行うために、ソーシャルエンジニアリングを組み合わせることが多いため、ほとんどのシミュレーションにはソーシャルエンジニアリングも含まれます。シミュレーションは実際のフィッシングシナリオと同じように実施されますが、社員の行動は監視され、追跡されます。

レポートと分析により、どのようなフィッシング攻撃が社員を騙しているのかがわかり、管理者は改善点を知ることができます。リンクを含むシミュレーションでは、誰が悪意のあるリンクをクリックしたか、どの社員が悪意のあるサイトに認証情報を入力したか、スパムフィルターが自動的に作動したメールメッセージを追跡することでレポートと連動させます。この結果は、スパムフィルターの設定や、組織全体のトレーニングや教育の強化に利用することができます。

Proofpointの顧客は、フィッシング対策トレーニングスイートと継続的トレーニングの手法を使用して、フィッシング攻撃とマルウェア感染の成功率を最大90%減少させています。このユニークな4段階の、評価、教育、強化、測定のアプローチは、あらゆる組織のフィッシング意識向上トレーニングプログラムの基礎となります。

フィッシング対策は、従業員や組織に対するフィッシング攻撃を防ぐために、企業が講じることができる重要なセキュリティ対策です。セキュリティに関する意識向上トレーニングや、メールが疑わしいと感じたときに探すべきサインに関する教育は、間違いなく侵害の被害を減らすのに役立ちます。しかし、ユーザーの行動は予測できないため、一般的にはセキュリティソリューション主導のフィッシング検出が重要です。

実際の事例や演習に基づいた教育は、ユーザーがフィッシングを識別するのに役立ちます。専門家と協力して、従業員にフィッシングメールのシミュレーションを送信し、どの従業員がメールを開いてリンクをクリックしたかを追跡するのが一般的な方法です。これらの従業員は、今後の攻撃で同じ間違いをしないように、さらに訓練を積むことができます。

メールゲートウェイのレピュテーションベースのソリューションの中には、埋め込まれたURLの既知の悪評に基づいてフィッシングメールをキャッチし、分類する機能を備えているものもあります。しかし、このようなソリューションが見逃してしまうのは、メール配信時に悪評のない正規のウェブサイトからのURLで、よく練られたフィッシングメッセージであることが多いのです。

最も効果的なシステムは、トラフィックの異常なパターンを探して疑わしいメールを特定するアノマリティクスに基づいて、埋め込まれたURLを書き換え、ページ内エクスプロイトやダウンロードがないか常に監視しています。これらの監視ツールは、管理者が進行中のフィッシング攻撃について調査できるように、疑わしいメールメッセージを隔離します。フィッシングメールが大量に検出された場合、管理者は従業員に警告を発し、標的型フィッシングキャンペーンの成功確率を下げることができます。

サイバーセキュリティの世界は常に進化しており、特にフィッシングの世界ではその傾向が顕著です。企業は常に従業員とコミュニケーションをとり、最新のフィッシングやソーシャルエンジニアリングの手法を教育することが重要です。従業員が最新の脅威を認識することで、リスクを軽減し、組織内にサイバーセキュリティの文化を生み出すことができます。

攻撃者に情報を送信した後、その情報は他の詐欺師にも開示される可能性が高いです。ビッシングやスミッシングのメッセージ、新しいフィッシングメール、音声通話を受け取ることになるでしょう。あなたの情報や金銭的な詳細を尋ねる不審なメッセージには常に警戒してください。

連邦取引委員会では、個人情報の盗難に関する専門サイトを開設しており、被害の軽減やクレジット・スコアの監視に役立てています。リンクをクリックしたり、不審な添付ファイルを開いたりした場合、コンピュータにマルウェアがインストールされている可能性があります。マルウェアを検出して除去するには、アンチウイルス・ソフトウェアが最新のもので、最新のパッチがインストールされていることを確認してください。