フィッシングはサイバーセキュリティ攻撃の一種で、悪意のある攻撃者が信頼できる個人や団体になりすましてメッセージを送信します。 フィッシング メッセージはユーザーを操作し、悪意のあるファイルのインストール、悪意のあるリンクのクリック、アクセス資格情報などの機密情報の漏洩などのアクションを実行させます。
フィッシングは、ソーシャルエンジニアリングの最も一般的なタイプであり、コンピューターユーザーを操作またはだます試みを表す一般的な用語です。 ソーシャルエンジニアリングは、ほぼすべてのセキュリティインシデントで使用される脅威ベクトルとしてますます一般的になっています。 フィッシングなどのソーシャルエンジニアリング攻撃は、マルウェア、コードインジェクション、ネットワーク攻撃などの他の脅威と組み合わされることがよくあります。
Forrester Wave for Email Security レポート Harmony Email & Collaboration
Checkpoint Researchは最近、フィッシング攻撃やその他の主要なサイバー脅威に関するデータを提供する 2023年中間サイバーセキュリティレポートを発表しました。
レポートによると、フィッシング攻撃はマルウェアを拡散する最も一般的な方法の1つでした。 ジェネレーティブAIの台頭により、最近フィッシングの脅威が高まっており、過去のフィッシング攻撃を早期に検出していたタイプミスや文法上の誤りを排除するのに役立っています。
フィッシングは、主要なマルウェアの亜種で使用される一般的な手法でもあります。 例えば、2023年上半期に最も多く見られたマルウェアであるQbotは、感染メカニズムとしてフィッシングを利用することで知られています。
フィッシング攻撃の基本的な要素は、電子メール、ソーシャル メディア、またはその他の電子通信手段によって送信されるメッセージです。
フィッシング詐欺師は、公共のリソース、特にソーシャルネットワークを使用して、被害者の個人的および仕事上の経験に関する背景情報を収集する可能性があります。 これらの情報源は、潜在的な被害者の名前、役職、電子メールアドレス、興味や活動などの情報を収集するために使用されます。 フィッシング詐欺師は、この情報を使用して、信頼性の高い偽のメッセージを作成できます。
通常、被害者が受信する電子メールは、既知の連絡先または組織から送信されたように見えます。 攻撃は、悪意のある添付ファイルや悪意のあるWebサイトへのリンクを介して実行されます。 攻撃者は、被害者の銀行、職場、大学などの信頼できるエンティティが所有しているように見える偽のWebサイトを設定することがよくあります。 攻撃者は、これらのWebサイトを介して、ユーザー名やパスワード、支払い情報などの個人情報を収集しようとします。
フィッシングメールの中には、コピーライティングが不十分であったり、フォント、ロゴ、レイアウトが不適切に使用されたりすることで識別できるものがあります。 しかし、多くのサイバー犯罪者は、本物そっくりのメッセージを作成するのが巧妙になり、プロのマーケティング手法を使用して電子メールの有効性をテストし、改善しています。
フィッシング詐欺師は、さまざまな手法を使用して、攻撃をターゲットに忠実に見せ、目的を達成します。 一般的なフィッシングの手口には、次のようなものがあります。
ほとんどのフィッシング攻撃は電子メールで送信されます。 攻撃者は通常、実際の組織を模倣した偽のドメイン名を登録し、被害者に何千もの一般的なリクエストを送信します。
偽のドメインの場合、攻撃者は文字を追加または置換する可能性があります(例:mybank.com ではなく my-bank.com)。 サブドメイン(例:mybank.host.com)を使用する。 または、信頼できる組織の名前を電子メールのユーザー名として使用します(例:mybank@host.com)。
多くのフィッシングメールは、緊急性や脅威を利用して、メールの送信元や信憑性を確認せずにユーザーに迅速に対応させます。
電子メール フィッシング メッセージには、次のいずれかの目的があります。
スピアフィッシングには 、特定の人に送信される悪意のあるメールが含まれます。 攻撃者は通常、被害者に関する次の情報の一部またはすべてを既に持っています。
この情報は、フィッシングメールの有効性を高め、被害者を操作して送金などのタスクや活動を実行させるのに役立ちます。
捕鯨攻撃は 、上級管理職やその他の特権的な役割を標的にしています。 捕鯨の最終的な目的は、他の種類のフィッシング攻撃と同じですが、その手法は非常に巧妙であることがよくあります。 通常、上級従業員はパブリックドメインに多くの情報を持っており、攻撃者はこの情報を使用して非常に効果的な攻撃を仕掛けることができます。
通常、これらの攻撃は、悪意のあるURLや偽のリンクなどのトリックを使用しません。 代わりに、被害者に関する調査で発見した情報を使用して、高度にパーソナライズされたメッセージを活用します。 たとえば、捕鯨の攻撃者は、偽の納税申告書を使用して被害者に関する機密データを発見し、それを使用して攻撃を仕掛けるのが一般的です。
これは、書面によるコミュニケーションの代わりに電話を使用するフィッシング攻撃です。 スミ ッシングには不正なSMSメッセージの送信が含まれますが、ビッシングには電話での会話が含まれます。
典型的な音声フィッシング詐欺、詐欺、不正行為では、攻撃者はクレジットカード会社や銀行の不正、詐欺、不正行為の調査員になりすまし、被害者にアカウントが侵害されたことを知らせます。 次に、犯罪者は被害者に支払いカード情報を提供するように求めますが、これはおそらく身元を確認するためか、安全なアカウント(実際には攻撃者のアカウント)に送金するためです。
ビッシング 不正、詐欺、不正行為には、信頼できるエンティティを装った自動電話が含まれ、被害者に電話のキーパッドを使用して個人情報を入力するように求める場合もあります。
これらの攻撃は、有名な組織に属する偽のソーシャルメディアアカウントを使用します。 攻撃者は、正規の組織を模倣したアカウントハンドル(「@pizzahutcustomercare」など)を使用し、実際の企業アカウントと同じプロフィール写真を使用します。
攻撃者は、消費者がソーシャルメディアチャネルを使用してブランドに苦情を申し立てたり、支援を要求したりする傾向を利用します。 しかし、消費者は本物のブランドに連絡する代わりに、攻撃者の偽のソーシャルアカウントに連絡します。
攻撃者は、このような要求を受けた場合、問題を特定して適切に対応できるように、顧客に個人情報の提供を求める場合があります。 また、攻撃者は偽のカスタマーサポートページへのリンクを提供しますが、これは実際には悪意のあるWebサイトです。
ネガティブな結果をもたらすと脅迫するメールは、常に懐疑的に扱う必要があります。 もう一つの戦略は、緊急性を利用して、即時の行動を促したり要求したりすることです。 フィッシング詐欺師は、メールを急いで読むことで、内容を徹底的に精査したり、矛盾を発見したりしないことを望んでいます。
フィッシングの直接的な兆候は、メッセージが不適切な言葉やトーンで書かれていることです。 たとえば、職場の同僚が過度にカジュアルに聞こえたり、親しい友人がフォーマルな言葉を使ったりすると、疑いの目を向けることになります。 メッセージの受信者は、フィッシング メッセージを示す可能性のある他のものを確認する必要があります。
メールが標準以外のアクションを実行する必要がある場合は、そのメールが悪意のあるものであることを示している可能性があります。 たとえば、特定の IT チームからのメールを装い、ソフトウェアのインストールを依頼しているが、これらのアクティビティは通常 IT 部門によって一元的に処理されている場合、そのメールは悪意のあるものである可能性があります。
スペルミスや文法の誤用もフィッシングメールの兆候です。 ほとんどの企業は、送信メールのスペルチェックをメールクライアントで設定しています。 したがって、スペルや文法に誤りがあるメールは、主張された送信元から発信されていない可能性があるため、疑いを抱かせる必要があります。
潜在的なフィッシング攻撃を特定するもう一つの簡単な方法は、一致しないメールアドレス、リンク、ドメイン名を探すことです。 たとえば、送信者のメールアドレスと一致する以前の通信を確認することをお勧めします。
受信者は、実際のリンク先を確認するには、クリックする前に必ずメール内のリンクにカーソルを合わせる必要があります。 メールがバンク・オブ・アメリカから送信されたと思われるが、メールアドレスのドメインに「bankofamerica.com」が含まれていない場合、 これはフィッシングメールの兆候です。
多くのフィッシングメールでは、攻撃者は公式のように見えるメールからリンクされた偽のログインページを作成します。 偽のログインページには、通常、ログインボックスまたは金融口座情報の要求があります。 メールが予期しないものである場合、受信者はログイン資格情報を入力したり、リンクをクリックしたりしないでください。 予防策として、受信者は電子メールの送信元と思われるWebサイトに直接アクセスする必要があります。
ここでは、組織がフィッシング攻撃のリスクを軽減する方法をいくつか紹介します。
フィッシング戦略を理解し、フィッシングの兆候を特定し、疑わしいインシデントをセキュリティチームに報告できるように従業員をトレーニングすることが最も重要です。
同様に、組織は、Webサイトを操作する前に、有名な サイバーセキュリティ またはウイルス対策会社のトラストバッジまたはステッカーを探すように従業員に奨励する必要があります。 これは、Webサイトがセキュリティに真剣に取り組んでおり、おそらく偽物や悪意のあるものではないことを示しています。
最新のメールフィルタリングソリューションは、メールメッセージ内のマルウェアやその他の悪意のあるペイロードから保護できます。 ソリューションは、悪意のあるリンク、添付ファイル、スパムコンテンツ、およびフィッシング攻撃を示唆する可能性のある言語を含む電子メールを検出できます。
メールセキュリティソリューションは、不審なメールを自動的にブロックして隔離し、サンドボックス技術を使用してメールを「爆発」させ、悪意のあるコードが含まれているかどうかを確認します。
職場でのクラウドサービスや個人用デバイスの使用の増加により、完全に保護されていない可能性のある多くの新しいエンドポイントが導入されています。 セキュリティチームは、一部のエンドポイントがエンドポイント攻撃によって侵害されることを想定する必要があります。 エンドポイントのセキュリティ脅威を監視し、侵害されたデバイスに迅速な修復と対応を実装することが不可欠です。
フィッシング攻撃テストのシミュレーションは、セキュリティチームがセキュリティ意識向上トレーニングプログラムの有効性を評価し、エンドユーザーが攻撃をよりよく理解するのに役立ちます。 従業員が不審なメッセージを見つけるのが得意であっても、実際のフィッシング攻撃を模倣するために定期的にテストする必要があります。 脅威の状況は進化し続けており、サイバー攻撃のシミュレーションも進化する必要があります。
ほとんどのフィッシング手法は、人間のオペレーターを騙すように設計されており、特権ユーザーアカウントはサイバー犯罪者にとって魅力的なターゲットです。 システムやデータへのアクセスを制限することで、機密データを漏洩から守ることができます。 最小特権の原則を使用し、絶対に必要なユーザーにのみアクセス権を付与します。
チェック・ポイント Harmony Email and Collaboration は、強固なフィッシング対策を提供し、フィッシング攻撃に効果的に対抗します。2023年のForrester Wave for Enterprise Email Securityでリーダーに選出され、組織に高度な保護を提供します。Harmony Email and Collaborationが最新のフィッシング脅威から組織を保護する方法の詳細については、今すぐ 無料デモをリクエスト してください。