フィッシング詐欺とは？手口や事例とその対策

フィッシング詐欺とは、攻撃者が人をだまして詐欺に引っかけるように仕組んだ悪質な電子メールを送ることです。その目的は、金銭的な情報、システムの認証情報、その他の機密データをユーザーに開示させることです。

フィッシングはソーシャルエンジニアリングの一種で、詐欺師が人間の心理を操るために使うテクニックの総称です。ソーシャルエンジニアリングの手法には、偽造、誘導、嘘などがあり、これらはすべてフィッシング攻撃で使用される可能性があります。基本的には、フィッシングメールはソーシャルエンジニアリングを利用して、ユーザーに考えなしに行動するように仕向けるものです。

フィッシング (phishing)という言葉は、1990年代半ばにハッカーが詐欺的なメールを使って無防備なユーザーから情報を「漁る」ようになったことから生まれました。初期のハッカーたちはしばしば「フリーク (phreaks)」と呼ばれていたため、この言葉は「フィッシング」と呼ばれるようになり、「ph」をつけて「フィッシング」と呼ばれるようになりました。フィッシングメールは、人々をおびき寄せ、餌に食いつかせようとします。そして、一度引っかかってしまうと、ユーザーも組織も大変なことになります。

多くの一般的な脅威と同様に、フィッシングの歴史は1990年代から始まっています。AOLがインターネットにアクセスできるコンテンツ・システムとして人気を博していた頃、攻撃者はフィッシングやインスタント・メッセージを使ってAOLの社員になりすまし、ユーザーを騙して認証情報を流出させ、アカウントを乗っ取ろうとしました。

2000年代に入ると、攻撃者は銀行口座に目をつけました。フィッシングメールを使って、ユーザーを騙し、銀行口座の認証情報を流出させます。このメールには、銀行の公式サイトを模した悪意のあるサイトへのリンクが含まれていましたが、そのドメインは、公式ドメイン名の類似したバリエーションでした（例：paypal.comではなく、paypai.com）。その後、攻撃者はeBayやGoogleなどの他のアカウントを狙い、乗っ取った認証情報を使って、金銭の窃盗や詐欺、他のユーザーへスパムを送りました。

サイバー犯罪者がフィッシングメールを利用するのは、簡単で安価、かつ効果的だからです。電子メールアドレスは簡単に入手でき、電子メールは事実上無料で送信できます。わずかな労力とコストで、攻撃者は貴重なデータに素早くアクセスすることができるのです。フィッシング詐欺に引っかかった人は、マルウェアの感染（ランサムウェアを含む）、個人情報の盗難、データの損失などの被害を受ける可能性があります。

サイバー犯罪者が狙うデータには、金融口座データ、クレジットカード番号、納税記録、医療記録などの個人を特定できる情報（PII）や、顧客名や連絡先、独自の製品機密、機密通信などのビジネス上の機密データが含まれます。

また、サイバー犯罪者はフィッシング攻撃を利用して、電子メールやソーシャルメディアなどのアカウントに直接アクセスしたり、POS端末や注文処理システムなどの接続されたシステムを変更したり、侵害するための権限を取得したりします。2013年に発生したTargetの情報漏えいのような大規模な情報漏えいの多くは、フィッシングメールが発端となっています。サイバー犯罪者は、一見何の変哲もない電子メールを利用して、小さな足がかりを作り、そこから発展させることができるのです。

攻撃者は、恐怖と危機感を餌にします。攻撃者は、ターゲットとなるユーザーがメールに反応しない場合、アカウントが制限される、または停止されることを伝えるのが一般的です。恐怖のあまり、標的のユーザーは一般的な警告サインを無視し、フィッシングの脅威を忘れてしまうのです。管理者やセキュリティ専門家でさえも、フィッシングに引っかかることがあります。

通常、フィッシングメールはできるだけ多くの人に送られるため、挨拶文は一般的なものになります。

上記のメッセージでは、ユーザーの名前は出てこず、恐怖心を利用して、添付ファイルを開かせようとする緊迫感があります。

添付ファイルは、Webページ、シェルスクリプト（PowerShellなど）、悪意のあるマクロを含むMicrosoft Office文書である可能性があります。このマクロやスクリプトを利用して、マルウェアをダウンロードさせたり、ユーザーを騙してアカウント情報を流出させたりすることが可能です。

攻撃者は、公式ドメインに類似したドメインを登録したり、Gmailなどの一般的なプロバイダを利用したりすることもあります。送信者を偽装することは、電子メールプロトコルでも可能ですが、ほとんどの受信サーバーでは、偽装されたメールヘッダを検出する電子メールセキュリティが使用されています。ユーザーがメールを受信したとき、メッセージには会社の公式ロゴが使われているかもしれませんが、送信者アドレスには会社の公式ドメインが含まれていません。送信者アドレスは警告サインの一つに過ぎず、それだけでメッセージの正当性を判断すべきではありません。

サイバー犯罪者は、フィッシングメールの中で、悪意のあるWebリンク、悪意のある添付ファイル、不正なデータ入力フォームという3つの主要なメカニズムを用いて情報を盗みます。

悪質なWebリンク

URLと呼ばれるリンクは、一般的なメールにも、フィッシングメールにもよく含まれています。悪意のあるリンクは、ユーザーを偽のウェブサイトや、マルウェアとして知られる悪意のあるソフトウェアに感染したサイトへ誘導します。悪意のあるリンクは、信頼できるリンクに見せかけ、メール内のロゴなどの画像に埋め込まれていることがあります。

ここでは、アメリカの大学であるコーネル大学のユーザーが受信したメールの例を紹介します。送信者名として「Help Desk」と表示されたシンプルなメッセージです（ただし、メールの送信元は同大学のヘルプデスクではなく、@connect.ust.hkのドメインでした）。コーネル大学のITチームによると、メールに埋め込まれたリンクをクリックすると、Office 365のログインページのようなページが表示されるとのことです。このフィッシングメールは、ユーザーの認証情報を盗み出そうとするものでした。

悪質な添付ファイル

一見、正当な添付ファイルのように見えますが、実はマルウェアに感染しており、パソコンとその中のファイルを危険にさらす可能性があります。マルウェアの一種であるランサムウェアの場合、PC上のすべてのファイルがロックされ、アクセス不能になる可能性があります。また、キーロガーがインストールされ、パスワードを含め、ユーザーが入力したすべてのデータを記録することもできます。また、ランサムウェアやマルウェアの感染は、1台のPCから外付けハードディスク、サーバー、クラウドシステムなど、ネットワーク接続された他のデバイスに広がる可能性があることも認識しておくことが重要です。

国際的な配送業者であるFedExがウェブサイトで共有したフィッシングメールの文面の一例を紹介します。このメールでは、配達できなかった小包を受け取るために、添付された郵便物の領収書のコピーを印刷し、フェデックスの拠点へ持参するよう促しています。残念ながら、この添付ファイルにはウイルスが含まれており、受信者のコンピュータに感染してしまいました。この種の配送詐欺は、クリスマス商戦に特に多く見られますが、年間を通じて発生しています。

不正なデータ入力フォーム

ユーザーID、パスワード、クレジットカード情報、電話番号など、重要な情報を入力させるメールです。ユーザーがこれらの情報を送信すると、サイバー犯罪者が個人的な利益のためにそれを使用することができます。

以下は、gov.ukのWebサイトで共有されている偽のランディングページの例です。フィッシングメールのリンクをクリックすると、ユーザーはHMRCの徴税機関の一部であるかのような不正ページに誘導されます。そして、ユーザーは還付を受ける資格があるが、フォームに記入する必要があると告げられます。このような個人情報は、サイバー犯罪者によって、個人情報の盗難を含む様々な詐欺行為に利用される可能性があります。

メールの件名は、ユーザーがメッセージを開くかどうかを決定します。フィッシングの場合、件名はユーザーの恐怖心や切迫感を煽ることになります。

攻撃者は、アカウント、配送、銀行口座、金融取引に関する問題を含むメッセージを使用することが一般的です。配送のメッセージは、ほとんどの人が配送を期待しているため、休暇中によく見られます。送信者アドレスのドメインが正規のものでないことにユーザーが気付かない場合、ユーザーは騙されてリンクをクリックし、機密データを漏らしてしまう可能性があります。

フィッシングは、単純にクレデンシャルやデータを盗むだけでなく、進化を遂げています。攻撃者は、フィッシングの種類によって、どのようにキャンペーンを展開するかが異なります。フィッシングの種類は以下の通りです。

• スピアフィッシング： 組織内の特定の人物、通常は高い権限を持つアカウント所有者に送られるメールメッセージです。
• リンク操作： メッセージには、正式な業務に見せかけた悪意のあるサイトへのリンクが含まれています。
• CEO詐欺： 主に金融関係者に送られ、CEOや他の役員が送金を依頼していると信じ込ませるためのメッセージです。
• コンテンツインジェクション： 公式サイトに不正なコンテンツを注入できる攻撃者が、ユーザーを騙してサイトにアクセスさせ、不正なポップアップを表示したり、フィッシングサイトに誘導したりします。
• マルウェア： ユーザーを騙してリンクをクリックさせたり、添付ファイルを開かせたりすることで、端末にマルウェアをダウンロードさせる可能性があります。
• スミッシング： SMSメッセージを利用して、攻撃者はユーザーを騙し、スマートフォンから悪意のあるサイトにアクセスさせる。
• ビッシング： 音声変換ソフトを使い、「この番号に電話をかけなさい」というメッセージを残します。
• Evil Twin Wi-Fi: 無料Wi-Fiを偽装し、ユーザーを不正なホットスポットに接続させ、中間者攻撃（Man-in-the-Middle Exploit）を行う。

フィッシング活動を行う方法は、攻撃者の目的によって異なります。企業の場合、攻撃者は偽の請求書を使って買掛金担当部署を騙し、送金させるのが一般的です。この攻撃では、送信者は重要ではありません。多くの業者は、個人的な電子メールアカウントを使ってビジネスを行っています。

例にあるボタンを押すと、Googleの不正な認証フォームが表示されるWebページが開きます。このページは、標的の被害者をだましてGoogleの認証情報を入力させ、攻撃者にアカウントを盗ませようとするものです。

また、攻撃者は、社内のテクニカルサポートを装うという手口も使っています。このテクニカルサポートのメールは、ユーザーにメッセージングシステムやマルウェアが隠されたアプリケーションをインストールしたり、ランサムウェアをダウンロードするスクリプトを実行したりするように要求します。ユーザーは、このようなタイプのメールに注意し、管理者に報告する必要があります。

フィッシングは効果的であるため、攻撃者はフィッシングキットを使って設定を簡略化しています。これはフィッシング活動のバックエンドコンポーネントです。キットは、ウェブサーバ、ウェブサイトの要素（例：公式ウェブサイトの画像やレイアウト）、ユーザーの認証情報を収集するために使用するストレージで構成されています。もう一つの構成要素は、登録されたドメインです。犯罪者は、フィッシングメールに使用するドメインを数十個登録し、スパムフィルターが悪意あるものとして検知した際に素早く切り替えられるようにしています。数十のドメインを持つことで、フィッシングURLのドメインを変更し、新たなターゲットにメッセージを再送信することができます。

また、フィッシングキットは、検知されないように設計されています。バックエンドのスクリプトは、McAfee、Google、Symantec、Kasperskyなどのセキュリティ研究者やアンチウイルス組織のIPアドレスの大きなブロックを防ぎ、フィッシングのドメインが見つからないようにします。フィッシングに使われたドメインは、セキュリティ研究者からは無害な正規のサイトのように見えますが、ターゲットにされたユーザーにはフィッシングコンテンツを表示します。

家庭でも職場でも、フィッシング詐欺に引っかかるとどうなるか認識しておくことが重要です。ここでは、フィッシングメールに引っかかることで起こりうる問題のいくつかを紹介します。

私生活において

• 銀行口座からお金が盗まれる
• クレジットカードが不正に利用される
• 個人名で確定申告をする
• 個人名義でローンや住宅ローンを組まされる
• 写真、ビデオ、ファイル、その他の重要な文書にアクセスできなくなる
• 個人のアカウントで行われたソーシャルメディアに偽の投稿をされる

仕事において

• 会社の資金を失う
• 顧客や同僚の個人情報が流出する
• 部外者が機密通信、ファイル、システムにアクセスできる
• ファイルがロックされ、アクセス不能になる
• 雇用主の評判を落とす
• コンプライアンス違反による罰金が課される
• 企業価値が低下する
• 投資家の信頼が低下する
• 生産性の低下により収益性が低下する

パンデミックは、ほとんどの組織と従業員の働き方を変えました。リモートワークが標準となり、企業のデバイスと個人のデバイスがユーザーの職場に存在するようになりました。このような職場環境の変化は、攻撃者にとって有利に働きました。ユーザーは自宅で企業レベルのサイバーセキュリティを利用していないため、電子メールのセキュリティは有効ではなく、攻撃者はフィッシングキャンペーンを成功させる確率が高くなります。

社員が自宅で仕事をするようになったため、組織としてフィッシングに対する意識を高めるためのトレーニングがより重要になったのです。パンデミックの後、経営者や公式なベンダーになりすます手口が増えました。社員は依然として会社のシステムにアクセスする必要があるため、攻撃者は在宅勤務の社員をターゲットにして、環境にリモートアクセスすることができるのです。管理者は、リモートアクセスを迅速に設定することを余儀なくされ、環境のサイバーセキュリティは利便性のために脇に追いやられました。この強制的な緊急性は、攻撃者に利用可能な脆弱性を与え、その脆弱性の多くは人為的なミスでした。

サイバーセキュリティの不備と、ユーザーが自分のデバイスで接続することが組み合わさり、攻撃者は多くの利点を得ることができました。フィッシングは世界中で増加しました。Googleは、パンデミックによるロックダウンの後、2020年の初めにフィッシングサイトが350%急増したと報告しています。

フィッシング対策は、従業員や組織に対するフィッシング攻撃を防ぐために、企業が講じることができる重要なセキュリティ対策です。セキュリティに関する意識向上トレーニングや、電子メールが疑わしいと感じたときに探すべきサインに関する教育は、間違いなく侵害の被害を減らすのに役立ちます。しかし、ユーザーの行動は予測できないため、一般的にはセキュリティソリューション主導のフィッシング検出が重要です。

実際の事例や演習に基づいた教育は、ユーザーがフィッシングを識別するのに役立ちます。専門家と協力して、従業員にフィッシングメールのシミュレーションを送信し、どの従業員がメールを開いてリンクをクリックしたかを追跡するのが一般的な方法です。これらの従業員は、今後の攻撃で同じ間違いをしないように、さらに訓練を積むことができます。

メールゲートウェイのレピュテーションベースのソリューションの中には、埋め込まれたURLの既知の悪評に基づいてフィッシングメールをキャッチし、分類する機能を備えているものもあります。しかし、このようなソリューションが見逃してしまうのは、メール配信時に悪評のない正規のウェブサイトからのURLで、よく練られたフィッシングメッセージであることが多いのです。

最も効果的なシステムは、トラフィックの異常なパターンを探して疑わしいメールを特定するアノマリティクスに基づいて、埋め込まれたURLを書き換え、ページ内エクスプロイトやダウンロードがないか常に監視しています。これらの監視ツールは、管理者が進行中のフィッシング攻撃について調査できるように、疑わしいメールメッセージを隔離します。フィッシングメールが大量に検出された場合、管理者は従業員に警告を発し、標的型フィッシングキャンペーンの成功確率を下げることができます。

サイバーセキュリティの世界は常に進化しており、特にフィッシングの世界ではその傾向が顕著です。企業は常に従業員とコミュニケーションをとり、最新のフィッシングやソーシャルエンジニアリングの手法を教育することが重要です。従業員が最新の脅威を認識することで、リスクを軽減し、組織内にサイバーセキュリティの文化を生み出すことができます。

攻撃者に情報を送信した後、その情報は他の詐欺師にも開示される可能性が高いです。ビッシングやスミッシングのメッセージ、新しいフィッシングメール、音声通話を受け取ることになるでしょう。あなたの情報や金銭的な詳細を尋ねる不審なメッセージには常に警戒してください。

連邦取引委員会では、個人情報の盗難に関する専門サイトを開設しており、被害の軽減やクレジット・スコアの監視に役立てています。リンクをクリックしたり、不審な添付ファイルを開いたりした場合、コンピュータにマルウェアがインストールされている可能性があります。マルウェアを検出して除去するには、アンチウイルス・ソフトウェアが最新のもので、最新のパッチがインストールされていることを確認してください。

フィッシングを検知するための従業員トレーニングは、組織が次の被害者にならないようにするためのフィッシングの認識と教育において重要な要素であることが示されています。フィッシングキャンペーンは、たった一人の従業員が引っかかるだけで、次に報告されるデータ漏洩につながります。

フィッシングシミュレーションは、最新の社員教育です。アクティブなフィッシング攻撃への実践的な応用により、社員は攻撃がどのように行われるかを経験することができます。攻撃者は、より効果的なキャンペーンを行うために、ソーシャルエンジニアリングを組み合わせることが多いため、ほとんどのシミュレーションにはソーシャルエンジニアリングも含まれます。シミュレーションは実際のフィッシングシナリオと同じように実施されますが、従業員の行動は監視され、追跡されます。

レポートと分析により、どのようなフィッシング攻撃が従業員を騙しているのかがわかり、管理者は改善点を知ることができます。リンクを含むシミュレーションでは、誰が悪意のあるリンクをクリックしたか、どの従業員が悪意のあるサイトに認証情報を入力したか、スパムフィルターが自動的に作動したメールメッセージを追跡することでレポートと連動させます。この結果は、スパムフィルターの設定や、組織全体のトレーニングや教育の強化に利用することができます。

プルーフポイントのお客様は、フィッシング対策トレーニングスイートと継続的トレーニングの手法（Continuous Training Methodology）を使用して、フィッシング攻撃とマルウェア感染の成功率を最大90%減少させています。このユニークな4段階の、評価、教育、強化、測定のアプローチは、あらゆる組織のフィッシング意識向上トレーニングプログラムの基礎となります。