フィッシングとは

フィッシング攻撃の手口

おそらく、盗みを成功させる最も効果的なアプローチは、その行為が盗みだと気付かれないように相手をだますことです。フィッシングの基本的な手口はまさにこれです。

フィッシング攻撃の糸口となるのは、メール、電話、SMSメッセージ、ソーシャル メディアの投稿などです。いずれも、発信元の信頼性が高いように装っています。攻撃者はここから多岐にわたる目的に向けターゲットを欺きます。アカウント情報を提供させたり、PayPalで送金を行わせたり、偽装マルウェアをダウンロードさせたりするのです。

一般的な例を見てみましょう。攻撃者がターゲットのメール アドレスまたは電話番号を入手し、ターゲットが利用する銀行からのものを装ったメールまたはテキスト メッセージを送ります。このメッセージは、期限が迫る特別オファー、個人情報流出の可能性などについて言及して、口座へのログインを求めるものです。メッセージからリンクされているログイン ページは偽のもので、ターゲットは知らず知らずのうちに攻撃者にログイン情報を提供することになってしまいます。

ほとんどのフィッシング攻撃と同様、この例で示した攻撃では、巧妙に切迫感を作り出すことでターゲットを欺いて警戒心を緩め、メッセージの信憑性を検討する時間を取らせないようにしています。単純に思えるかもしれませんが、攻撃者は膨大なノウハウを持ったうえで作戦を実行しているため、対策はそう簡単ではありません。

フィッシング攻撃の種類

攻撃者は多様なフィッシング手法を編み出しており、さまざまなテクノロジー、トレンド、業界、ユーザーが狙われています。よくあるフィッシング手法の例を以下に挙げます。

• メール フィッシング：正当な差出人からのものを装ったメールで受信者をだまし、悪意のあるリンクをクリックしたり、ウイルスが仕込まれたファイルをダウンロードするよう誘導します。フィッシング メールでは、スプーフィング手法を用いてアドレスとURLを正当なものに見せかけている可能性があります。
• スミッシング/SMSフィッシング：モバイル デバイスに送信されるテキスト メッセージを介してターゲットを欺き、クレジット カード番号や口座番号などの個人情報を提供するよう誘導します。
• ビッシング/ボイス フィッシング：電話で行われること以外は基本的にスミッシングと同じです。クレジット カード情報などの機密情報を狙います。
• アングラー フィッシング：正当な組織を装った攻撃者が、ソーシャル メディア上で個人情報を提供するようターゲットに促します。多くの場合、ギフト カードや割引などの特典の提供でターゲットをおびき寄せます。
• ポップアップ フィッシング：AppleやAndroidなどのスマートフォンをターゲットとした一般的な攻撃です。悪意のあるリンクを含むオファーや警告メッセージをポップアップ表示してターゲットを欺き、個人情報を盗みます。
• スピア フィッシング：多くのフィッシング詐欺と異なり、無作為に選んだターゲットではなく、すでにある程度の個人情報を把握できている相手に絞って攻撃を仕掛けます。詳細な情報を利用することで成功率を大幅に高められる攻撃です。
• ホエーリング攻撃：組織の幹部などの重要メンバーをターゲットにフィッシングを行い、標的とする環境への特権アクセスを得るための情報を狙います。
• クローン フィッシング：金融機関やAmazonのように広く認知されている企業など、ターゲットが信頼する送信者を装ってメールを送ります。スピア フィッシングのほか、ビジネス メール詐欺(BEC)攻撃の一般的な戦略と密接に関連しています。
• 悪魔の双子のフィッシング：信頼性が高そうに見えるWi-Fiホットスポットによってターゲットをおびき寄せ、そのWi-Fiを通じて送信されるデータを傍受する中間者攻撃です。
• ファーミング：ドメイン ネーム システム(DNS)サーバーの機能を乗っ取ります。ユーザーは、無害なURLを入力しても悪意のある偽のWebサイトにリダイレクトされます。

フィッシング攻撃の危険性

フィッシング攻撃は、時に大きな被害をもたらす大変危険なものです。大規模なフィッシング キャンペーンでは、数百万人に影響が及ぶこともあります。機密データを抜き取られる、ランサムウェアなどのマルウェアを送り込まれる、企業システムの特に機密性の高い領域にアクセスされるなどの被害が起こります。

組織レベルでフィッシング攻撃を受けた場合、財務情報などの機密データの流出、信用の失墜、規制上の問題の発生など、その影響はさまざまに拡大していきます。

フィッシング攻撃がビジネスに与えるダメージ

組織レベルでは、フィッシング攻撃の実被害を受けた場合、その影響は広範囲に及ぶ深刻なものとなる可能性があります。企業の銀行口座が侵害されれば、経済的な損失が起こるかもしれません。フィッシングを糸口としてランサムウェア攻撃を受ければ、情報漏洩も起こり得ます。公表しなければならないような機密データの侵害が起これば、組織の評判に大きな傷が付くかもしれません。

さらに、こうした被害がいっそう深刻な問題に発展していく恐れもあります。サイバー犯罪者は、盗んだデータを悪質な競合他社やダーク ウェブに販売する可能性があります。多くの場合、侵害を受けると業界や政府の規制機関にその事実を開示する必要があり、場合によっては罰金などの制裁が課せられることもあります。また組織としてサイバー犯罪の捜査に巻き込まれることもあり、時間の浪費につながるうえ、悪い意味で世間の注目を集めてしまう可能性があります。

フィッシング攻撃から組織を保護する方法

幸い、大半のタイプのフィッシングは適切な予防策を講じることで阻止できます。具体的には以下のとおりです。

• 効果的なサイバーセキュリティ対策を実践する。最新のウイルス対策ソリューションやフィッシング対策ソリューションを、効果的なスパム フィルターとあわせて利用することで、フィッシング攻撃の大部分を排除できます。
• OSとブラウザーを常に最新の状態に維持する。ソフトウェア プロバイダーは新たに見つかった自社製品の脆弱性に定期的に対応していますが、このアップデートを適用しなければシステムにセキュリティの穴が残ることになります。
• 自動バックアップでデータを保護する。システム データの定期的なバックアップ プロセスを実装すれば、侵害が発生した場合の復旧が可能になります。
• 高度な多要素認証(MFA)を使用する。MFAなどのゼロトラスト戦略を導入することで、攻撃者と内部システムの間の防御レイヤーを拡充できます。
• ユーザー教育を徹底する。サイバー犯罪者は常に新しい戦略を生み出しているため、メールのセキュリティ機能ですべてのフィッシングを検出することはできません。疑わしいメールのメッセージの判別や、フィッシングの報告の方法をすべてのユーザーが理解していれば、ユーザーや組織全体の安全性を高めることにつながります。

フィッシングを見抜くためのポイント

フィッシングについて言えば、最も安全なのは、引っかからない方法を心得ているユーザーです。簡単にまとめた情報を読んだだけでは、セキュリティ意識向上のための集中トレーニングほどの効果は期待できませんが、フィッシングを疑うべき重要なサインをいくつか紹介します。

• ドメイン名の不一致：メール アドレスやWebドメインに齟齬があるケースがあります。たとえば、メールの差出人が有名企業の名前になっていても、アドレスがその企業のものと一致していない可能性があります。
• 誤字脱字：フィッシング攻撃の成功率は大幅に高まっているものの、フィッシングに使われるメッセージの多くには、未だに誤字脱字や文法的な誤りが含まれています。
• 見慣れない挨拶：書き出しの挨拶や文章の締めのスタイルが異状のサインになることもあります。普段は「いつもお世話になっております」で始まるメールを書く人が、突然「こんにちは！」などと書いてきたら特に要注意です。
• 簡潔すぎる文面：フィッシング メールはあえて情報量を少なくしていることが多く、その曖昧さによってターゲットの判断を狂わせることを狙っています。あまりにも情報が欠落している場合は、フィッシングのサインかもしれません。
• 不自然なリクエスト：普段とは異なったことを、それも説明なく依頼してくるメールは、特に要注意です。たとえば、IT部門をかたって、理由の説明もなくファイルのダウンロードを指示するようなケースがこれに該当します。

フィッシングとリモート ワーク

企業のITセキュリティ リーダーを対象とした2021年の調査では、リモート ワーカーの方がフィッシング攻撃の被害に遭うリスクが高いと考える回答者は80%に上りました。それにも関わらず、多くの組織は依然として脆弱なセキュリティ プロトコルに依存しています。コロナ禍が落ち着いた後も、大部分の組織は少なくとも一部の従業員に対してリモート ワークまたはハイブリッド ワークの促進を継続していく方針であり、現在の状況のままでは、組織が脅威にさらされることになりかねません。

リモート ワーカーが利用するセキュリティ ソフトウェアは、多くの場合、オフィス勤務の場合に利用するものほど高度なものではありません。個人のメール アカウントなど、IT部門の管理下にないアカウントを使用している可能性もあります。さらに、リモート ワーカーには組織内の制御が及ばず、セキュリティ上の適切な衛生管理策の実施を常に強制することはできません。現実的に不可能ではないとしても、IT管理者がこれを監視または強制することは難しい場合があります。

リモート ワークの時代に安全を確保するには、モバイル化や分散化が進んだ従業員のニーズに対応できるセキュリティが必要です。

Zscalerによるフィッシング対策

フィッシング攻撃は人間の本能につけ込むことで成功を狙うため、ユーザーの侵害をいかに防ぐかが、最も難しいセキュリティ課題の1つになります。アクティブな侵害を検出し、侵害によって引き起こされる可能性のある損害を最小限に抑えるには、より広範なゼロトラスト戦略の一環として、効果的なフィッシング防御策を実装する必要があります。

Zscaler Zero Trust Exchange™プラットフォームは、総合的なゼロトラスト アーキテクチャー上に構築されており、攻撃対象領域を最小限に抑え、侵害を防ぎ、ラテラル ムーブメントを排除することでデータ損失を阻止し、次のような形でフィッシングの被害を防止します。

• 攻撃の防止：フルTLS/SSLインスペクション、ブラウザー分離、ポリシーに基づくアクセス コントロールなどの機能により、悪意のあるWebサイトからのアクセスを防止します。
• ラテラル ムーブメントの防止：一旦システムに侵入したマルウェアは、拡散して被害を拡大させる可能性があります。Zero Trust Exchangeはユーザーをネットワークを経由せずアプリケーションに直接接続するため、アプリケーションからマルウェアが拡散することを阻止できます。
• 内部脅威の阻止：Zscalerのクラウド プロキシ アーキテクチャーは、フル インライン インスペクションによって、プライベート アプリケーションの侵害を阻止し、また、最も高度な手法を使った攻撃をも検出します。
• データ損失の防止：Zero Trust Exchangeは、アクティブな攻撃者によって行われる可能性のあるデータ窃取を防ぐために、転送中データおよび保存データに対するインスペクションを実施します。