ビッシング攻撃とは?

音声とフィッシングのかばん語であるビッシング攻撃は、電話で行われ、心理学を利用して被害者を騙して機密情報を渡させたり、攻撃者に代わって何らかの行動を起こさせたりするため、 ソーシャルエンジニアリング攻撃の一種と見なされています。

デモをリクエストする eBookを読む

ビッシング攻撃とは?

ビッシングの仕組み

一般的な戦術の 1 つは、権限の使用です。 たとえば、攻撃者はIRSのふりをして、未払いの税金を徴収するために電話をかけている可能性があります。 逮捕の恐怖から、被害者は攻撃者に言われたことを実行させてしまうことがあります。 また、この種の攻撃では、ギフトカードによる支払いが一般的で、 2020年には米国だけで1億2,400万ドルの被害が発生しています。

ビッシングとフィッシングの違いは何ですか?

ビッシングと フィッシング はどちらもソーシャルエンジニアリング攻撃の一種であり、同じ戦術の多くを使用しますが、主な違いは攻撃の実行に使用される媒体です。

前述したように、ビッシングは電話を使用して攻撃を実行します。 攻撃者は被害者に電話をかけたり、被害者を騙して電話をかけさせたり、言葉で騙して何かをさせようとします。 一方、フィッシング詐欺師は、電子的なテキストベースの通信形式を使用して攻撃を実行します。 電子メールは最も一般的でよく知られているフィッシングメディアですが、攻撃者はテキストメッセージ(スミッシングと呼ばれる)、企業コミュニケーションアプリ(Slack、Microsoft Teamsなど)、メッセージングアプリ(Telegram、Signal、WhatsAppなど)、またはソーシャルメディア(Facebook、Instagramなど)を使用して攻撃を実行することもできます。

ビッシングの種類 不正、詐欺、不正行為

ビッシング攻撃は、フィッシング攻撃と同じくらい多様です。 ビッシングで使用される最も一般的な口実には、次のようなものがあります。

  • アカウントの問題: バイザーは、銀行やその他のサービスプロバイダーを装い、顧客の口座に問題があると主張する場合があります。 次に、「顧客の身元を確認する」ために個人情報を要求します。
  • 政府代表者: ビッシング攻撃には、内国歳入庁(IRS)や社会保障局(SSA)などの政府機関の代表者を装った攻撃者が含まれる場合があります。 これらの攻撃は通常、個人情報を盗んだり、被害者をだまして攻撃者に送金させたりするように設計されています。
  • 技術サポート: ソーシャルエンジニアは、MicrosoftやGoogleなどの大企業や有名企業の技術サポートを装うことがあります。 これらの攻撃者は、被害者のコンピューターまたはブラウザーの問題の解決に役立つふりをしますが、実際にはマルウェアをインストールします。

ビッシング攻撃を防ぐ方法

他のソーシャルエンジニアリング攻撃と同様に、ユーザーの認識は防止と保護に不可欠です。 サイバーセキュリティ意識向上トレーニングに含めるべき重要なポイントは次のとおりです。

  • 個人データを決して提供しない: ビッシング攻撃は、一般的に、ターゲットを騙して、詐欺やその他の攻撃に使用できる個人情報を引き渡すように設計されています。 パスワード、多要素認証 (MFA) 番号、財務データ、または同様の情報を電話で提供しないでください。
  • 常に電話番号を確認する: Vishersは、正規の組織からのふりをして電話をかけます。 個人データを提供したり、攻撃者の言うことをしたりする前に、発信者の名前を入手し、会社のWebサイトから公式番号を使用して電話をかけ直してください。 もし、電話をかけてきた人があなたにそうするように話そうとしたら、それはおそらく不正、詐欺、不正行為です。
  • 誰もギフトカードを欲しがらない: Vishersは通常、ギフトカードまたはプリペイドVisaカードで未払いの税金やその他の料金の支払いを要求します。 合法的な組織は、支払いとしてギフトカードやプリペイドクレジットを要求することはありません。
  • リモート コンピューター アクセスを提供しない: Vishersは、「マルウェアの削除」やその他の問題を修正するために、コンピューターへのリモートアクセスを要求する場合があります。 IT 部門の確認済みのメンバー以外には、コンピューターへのアクセスを提供しないでください。
  • 疑わしいインシデントを報告する: Vishersは通常、複数の異なるターゲットに対して同じ不正、詐欺、不正行為を使用しようとします。 ビッシング攻撃が疑われる場合は、IT部門や当局に報告し、他者を攻撃から守るための対策を講じてもらいます。

フィッシング攻撃と同様に、トレーニングベースのビッシング防止は不完全です。 攻撃がすり抜ける可能性は常にあります。 しかし、 フィッシングとは異なり、ビッシングはテクノロジーを使用して防ぐことは困難です。 ビッシングは電話で行われるため、潜在的な攻撃を検出するには、すべての通話を盗聴し、警告サインを監視する必要があります。

このため、組織は多層防御を実装し、攻撃者の目的に焦点を当てることで、ビッシング攻撃に対処する必要があります。 企業の文脈では、ビッシング攻撃は、従業員のシステムをマルウェアに感染させたり、攻撃者に機密性の高い企業データへのアクセスを提供したりするために設計されている場合があります。 ビッシング攻撃の影響は、最初の攻撃ベクトル(ビッシングの電話など)が検出できない場合でも、攻撃者がこれらの目標を達成できないようにするソリューションを導入することで軽減できます。

チェック・ポイントは、組織がビッシング、フィッシング、その他の関連攻撃を軽減するのに役立つさまざまなソリューションを提供しています。 チェック・ポイントの Harmony Email and Office には アンチフィッシング 保護機能が搭載されており、ビッシング攻撃に触発されたデータ流出の試みを検出するのに役立ちます。 チェック・ポイントがソーシャル・エンジニアリングの脅威から組織を保護する方法の詳細については、 今すぐ無料デモをリクエストしてください。

×
  フィードバック
このWebサイトは、機能性と分析およびマーケティングの目的でCookieを使用しています。Webサイトを引き続きご利用いただくことで、Cookieの使用に同意したことになります。詳細については、Cookieに関する通知をお読みください。
OK