VPNの脆弱性に関する不安が広がっています。ZPAの60日間無料トライアルを利用して、VPNからの移行のメリットをお確かめください。

エキスパートに相談する

フィッシングとは

フィッシングは、「ソーシャル エンジニアリング」の手法を用いたサイバー攻撃のカテゴリーの1つです。ターゲットを欺き、不当な形で機密情報を提供させたり、多額の金銭を送金させたりすることを狙っています。通常、無害なやり取りを装ってターゲットを信用させ、単純な利益の獲得から企業スパイ活動まで、さまざまな目的を果たすために相手を利用します。

2022年のThreatLabzフィッシング レポートを入手

フィッシング攻撃の手口

おそらく、盗みを成功させる最も効果的なアプローチは、その行為が盗みだと気付かれないように相手をだますことです。フィッシングの基本的な手口はまさにこれです。

フィッシング攻撃の糸口となるのは、メール、電話、SMSメッセージ、ソーシャル メディアの投稿などです。いずれも、発信元の信頼性が高いように装っています。攻撃者はここから多岐にわたる目的に向けターゲットを欺きます。アカウント情報を提供させたり、PayPalで送金を行わせたり、偽装マルウェアをダウンロードさせたりするのです。

一般的な例を見てみましょう。ターゲットのもとに、利用している銀行からのものを装ったメールまたはテキスト メッセージが届きます。このメッセージは、期限が迫る特別オファー、個人情報流出の可能性などについて言及して、口座へのログインを求めるものです。メッセージからリンクされているログイン ページは偽のもので、ターゲットは知らず知らずのうちに攻撃者にログイン情報を提供することになってしまいます。

ほとんどのフィッシング攻撃と同様、この例で示した攻撃では、巧妙に切迫感を作り出すことでターゲットを欺いて警戒心を緩め、メッセージの信憑性を検討する時間を取らせないようにしています。単純に思えるかもしれませんが、攻撃者は膨大なノウハウを持ったうえで作戦を実行しているため、対策はそう簡単ではありません。

フィッシング攻撃の種類

攻撃者は多様なフィッシング手法を編み出しており、さまざまなテクノロジー、トレンド、業界、ユーザーが狙われています。よくあるフィッシング手法の例を以下に挙げます。

  • メール フィッシング:正当な差出人からのものを装ったメールで受信者をだまし、悪意のあるリンクをクリックしたり、ウイルスが仕込まれたファイルをダウンロードするよう誘導します。フィッシング メールでは、スプーフィング手法を用いてアドレスとURLを正当なものに見せかけている可能性があります。
  • スミッシング/SMSフィッシング:テキスト メッセージを介して、ターゲットを欺き、クレジット カード番号や口座番号などの個人情報を提供するよう誘導します。
  • ビッシング/ボイス フィッシング:電話で行われること以外は基本的にスミッシングと同じです。クレジット カード情報などの機密情報を狙います。
  • アングラー フィッシング:正当な組織を装った攻撃者が、ソーシャル メディア上で個人情報を提供するようターゲットに促します。多くの場合、ギフト カードや割引などの特典の提供でターゲットをおびき寄せます。
  • ポップアップ フィッシング:スマートフォンをターゲットとした一般的な攻撃です。悪意のあるリンクを含むオファーや警告メッセージをポップアップ表示してターゲットを欺き、個人情報を盗みます。
  • スピア フィッシング:多くのフィッシング詐欺と異なり、無作為に選んだターゲットではなく、すでにある程度の個人情報を把握できている相手に絞って攻撃を仕掛けます。詳細な情報を利用することで成功率を大幅に高められる攻撃です。
  • ホエーリング:組織の幹部などの重要メンバーをターゲットにフィッシングを行い、標的とする環境への特権アクセスを得るための情報を狙います。
  • クローン フィッシング:金融機関や企業向けサービスなど、ターゲットが信頼する送信者を装ってメールを送ります。スピア フィッシングのほか、ビジネス メール詐欺(BEC)攻撃の一般的な戦略と密接に関連しています。
  • 悪魔の双子のフィッシング:信頼性が高そうに見えるWi-Fiホットスポットによってターゲットをおびき寄せ、そのWi-Fiを通じて送信されるデータを傍受する中間者攻撃です。
  • ファーミング:ドメイン ネーム システム(DNS)サーバーの機能を乗っ取ります。ユーザーは、無害なURLを入力しても悪意のある偽のWebサイトにリダイレクトされます。

フィッシング攻撃の危険性

フィッシング攻撃は、時に大きな被害をもたらす大変危険なものです。大規模なフィッシング キャンペーンでは、数百万人に影響が及ぶこともあります。機密データを抜き取られる、ランサムウェアなどのマルウェアを送り込まれる、企業システムの特に機密性の高い領域にアクセスされるなどの被害が起こります。

組織レベルでフィッシング攻撃を受けた場合、機密データの流出、信用の失墜、規制上の問題の発生など、その影響はさまざまに拡大していきます。

フィッシング攻撃がビジネスに与えるダメージ

組織レベルでは、フィッシング攻撃の実被害を受けた場合、その影響は広範囲に及ぶ深刻なものとなる可能性があります。企業の銀行口座が侵害されれば、経済的な損失が起こるかもしれません。フィッシングを糸口としてランサムウェア攻撃を受ければ、データの損失も起こり得ます。公表しなければならないような機密データの侵害が起これば、組織の評判に大きな傷が付くかもしれません。

さらに、こうした被害がいっそう深刻な問題に発展していく恐れもあります。サイバー犯罪者は、盗んだデータを悪質な競合他社やダーク ウェブに販売する可能性があります。多くの場合、侵害を受けると業界や政府の規制機関にその事実を開示する必要があり、場合によっては罰金などの制裁が課せられることもあります。また組織としてサイバー犯罪の捜査に巻き込まれることもあり、時間の浪費につながるうえ、悪い意味で世間の注目を集めてしまう可能性があります。

フィッシング攻撃から組織を保護する方法

幸い、大半のタイプのフィッシングは適切な予防策を講じることで阻止できます。具体的には以下のとおりです。

  • 効果的なサイバーセキュリティ対策を実践する。最新のウイルス対策ソリューションやフィッシング対策ソリューションを、効果的なスパム フィルターと合わせて利用することで、フィッシング攻撃の大部分を排除できます。
  • OSとブラウザーを常に最新の状態に維持する。ソフトウェア プロバイダーは新たに見つかった自社製品の脆弱性に定期的に対応していますが、このアップデートを適用しなければシステムにセキュリティの穴が残ることになります。
  • 自動バックアップでデータを保護する。システム データの定期的なバックアップ プロセスを実装すれば、侵害が発生した場合の復旧が可能になります。
  • 高度な多要素認証(MFA)を使用する。MFAなどのゼロトラスト戦略を導入することで、攻撃者と内部システムの間の防御レイヤーを拡充できます。
  • ユーザー教育を徹底する。サイバー犯罪者は常に新しい戦略を生み出しているため、メールのセキュリティ機能ですべてのフィッシングを検出することはできません。疑わしいメールのメッセージの判別や、フィッシングの報告の方法をすべてのユーザーが理解していれば、ユーザーや組織全体の安全性を高めることにつながります。

フィッシングを見抜くためのポイント

フィッシングについて言えば、最も安全なのは、引っかからない方法を心得ているユーザーです。簡単にまとめた情報を読んだだけでは、セキュリティ意識向上のための集中トレーニングほどの効果は期待できませんが、フィッシングを疑うべき重要なサインをいくつか紹介します。

  • ドメイン名の不一致:メール アドレスやWebドメインに齟齬があるケースがあります。たとえば、メールの差出人が有名企業の名前になっていても、アドレスがその企業のものと一致していない可能性があります。
  • 誤字脱字:フィッシング攻撃の成功率は大幅に高まっているものの、フィッシングに使われるメッセージの多くには、未だに誤字脱字や文法的な誤りが含まれています。
  • 見慣れない挨拶:書き出しの挨拶や文章の締めのスタイルが異状のサインになることもあります。普段は「いつもお世話になっております」で始まるメールを書く人が、突然「こんにちは!」などと書いてきたら特に要注意です。
  • 簡潔すぎる文面:フィッシング メールはあえて情報量を少なくしていることが多く、その曖昧さによってターゲットの判断を狂わせることを狙っています。あまりにも情報が欠落している場合は、フィッシングのサインかもしれません。
  • 不自然なリクエスト:普段とは異なったことを、それも説明なく依頼してくるメールは、特に要注意です。たとえば、ITチームをかたって、理由の説明もなくファイルのダウンロードを指示するようなケースがこれに該当します。

フィッシングとリモート ワーク

企業のITセキュリティ リーダーを対象とした2021年の調査では、リモート ワーカーの方がフィッシング攻撃の被害に遭うリスクが高いと考える回答者は80%に上りました。それにも関わらず、多くの組織は依然として脆弱なセキュリティ プロトコルに依存しています。コロナ禍が落ち着いた後も、大部分の組織は少なくとも一部の従業員に対してリモート ワークまたはハイブリッド ワークの促進を継続していく方針であり、現在の状況のままでは、組織が脅威にさらされることになりかねません。

リモート ワーカーが利用するセキュリティ ソフトウェアは、多くの場合、オフィス勤務の場合に利用するものほど高度なものではありません。個人のメール アカウントなど、ITチームの管理下にないアカウントを使用している可能性もあります。さらに、リモート ワーカーには組織内の統制が及ばず、セキュリティ上の適切な衛生管理策の実施を常に強制することはできません。現実的に不可能ではないとしても、IT管理者がこれを監視または強制することは難しい場合があります。

リモート ワークの時代に安全を確保するには、モバイル化や分散化が進んだ従業員のニーズに対応できるセキュリティが必要です。

Zscalerによるフィッシング対策

フィッシング攻撃は人間の本能につけ込むことで成功を狙うため、ユーザーの侵害をいかに防ぐかが、最も難しいセキュリティ課題の1つになります。アクティブな侵害を検出し、侵害によって引き起こされる可能性のある損害を最小限に抑えるには、より広範なゼロトラスト戦略の一環として、効果的なフィッシング防御策を実装する必要があります。

Zscaler Zero Trust Exchange™プラットフォームは、総合的なゼロトラスト アーキテクチャー上に構築されており、攻撃対象領域を最小限に抑え、侵害を防ぎ、水平移動を排除することでデータ損失を阻止し、次のような形でフィッシングの被害を防止します。

  • 攻撃の防止:フルTLS/SSLインスペクション、ブラウザー分離、ポリシーに基づくアクセス コントロールなどの機能により、悪意のあるWebサイトからのアクセスを防止します。
  • 水平移動の防止:一旦システムに侵入したマルウェアは、拡散して被害を拡大させる可能性があります。Zero Trust Exchangeはユーザーをネットワークを経由せずアプリケーションに直接接続するため、アプリケーションからマルウェアが拡散することを阻止できます。
  • 内部脅威の阻止:Zscalerのクラウド プロキシー アーキテクチャーは、フル インライン インスペクションによって、プライベート アプリケーションの侵害を阻止し、また、最も高度な手法を使った攻撃をも検出します。
  • データ損失の防止:Zero Trust Exchangeは、アクティブな攻撃者によって行われる可能性のあるデータ窃取を防ぐために、転送中データおよび保存データに対するインスペクションを実施します。

完全なゼロトラスト アーキテクチャーが組織をフィッシング攻撃から保護するのに役立つ理由については、Zero Trust Exchangeの詳細をご確認ください。

おすすめのリソース

よくある質問

フィッシング メールを見極めるにはどうすればよいですか?

フィッシング メールには、誤字脱字、メール ドメインまたはWebドメインの不一致、微妙に不自然な言い回しやぎこちない言い回しがあるかもしれません。普段と異なるリクエストを含んでいる場合もあります。

フィッシング メールの報告はどのように行えばよいですか?

組織内の体制としては、スタッフがITチームやセキュリティ チームに新たな脅威に関する情報提供を行えるような報告の仕組みを整備しておくとよいでしょう。そうすることで、ITチームやセキュリティ チームはその後の対応を適切に判断できます。たとえば、サービス プロバイダーに報告して、脆弱性に対するパッチを適用できないか確認したりできるほか、事態が深刻な場合は、適切な規制機関への届け出を確実に行えます。

フィッシングはどのくらいよくあるのでしょうか?

フィッシングは極めてありふれた攻撃です。リモート ワークの普及に伴い、フィッシング攻撃の件数は過去最大級に上っています。サイバー犯罪の約4分の1は、何らかの形のハッキングを糸口として発生しています。

フィッシングに一番よく利用されている企業はどこですか?

最近のレポートによると、Microsoft、DHL、LinkedIn、WhatsAppなどといった大手企業の名前が最もよくフィッシング攻撃に利用されています。

フィッシングのターゲットとなるのはどのような人や組織ですか?

ターゲットは個人から大規模な組織まで多岐にわたります。サイバー犯罪者は、企業のクレジット カード情報など、財務に関する情報へのアクセスを狙って、上級管理職者をターゲットとする場合もあります。

一般的に、フィッシング攻撃は何を目的に行われるのですか?

ほとんどの場合、フィッシング攻撃の最終目的は、金銭やデータ(PHI、知的財産、その他の機密情報など)を盗むことです。ログイン情報、口座番号、クレジット カード情報などを盗み出すことで、より重要な領域にアクセスできるようにして、この最終目標を達成します。

スピア フィッシングとはどのようなものですか?

スピア フィッシング攻撃は、無作為にターゲットを探す非標的型のフィッシングとは異なり、すでにある程度の情報を入手している特定の個人を標的とするものです。一般に、スピア フィッシングではターゲットに関する情報量が多いため、フィッシングの成功率を大幅に高められます。

クローン フィッシングとはどのようなものですか?

クローン フィッシング攻撃では、金融機関や企業向けサービスなど、ターゲットが信頼している送信元からのものを装ったメッセージ(テキスト、メール、ソーシャル メディア経由のメッセージなど)がターゲットのもとに届きます。スピア フィッシングやビジネス メール詐欺(BEC)攻撃の一般的な戦術と密接に関連した手法です。

ホエーリングとはどのようなものですか?

ホエーリングは、ハイ レベルの特権を持つ相手を狙ったフィッシングです。組織の幹部やその他の重要人物をターゲットとし、標的とする環境への特権アクセスにつながる情報を取得することを狙います。