フィッシング

詐欺師が信頼できる組織を装うサイバー犯罪の一形態であるフィッシングについて学びましょう。フィッシングは、オンライン・コミュニケーションを危険なシナリオに変え、深刻な結果をもたらす可能性があります。

Identity Theft 保護

この記事で

この記事では、最も一般的で危険なサイバー攻撃の1つであるフィッシングについて、その仕組み、見破り方、身を守るためにできることを解説します。

  • フィッシングの定義
    • サイバー犯罪の手口で、攻撃者が人を騙して、電子メールやメッセージ、ウェブサイトを通じて機密情報(パスワードや銀行口座の詳細など)を暴露させること。
  • フィッシングの仕組み, 例と戦術 認識する
    • 攻撃者は信頼できる個人や組織を装う。
    • 緊急のように聞こえるメッセージを送って恐怖心を煽り、被害者を騙してリンクをクリックさせたり、マルウェアをダウンロードさせたりする。
    • 被害者は偽のウェブサイトにリダイレクトされ、ログイン情報や財務データを盗まれる。
  • フィッシングから身を守るには

フィッシングとは何か? 

フィッシングはサイバー犯罪の一形態で、犯罪者が電子メールを通じて詐欺的なリンクから個人を特定できる情報をフォームに入力させ、機密情報を入手しようとするものです。そして、この情報を使って、ソーシャルメディアのプロフィールや銀行口座などのオンライン認証情報を取得します。

フィッシング・イラスト

フィッシングの仕組み

フィッシングは電子メール、電話、テキスト・メッセージを通じて行われる。フィッシング詐欺師は、本物で緊急性が高そうなメッセージを送り、相手に行動を起こすよう求めます。例えば、信頼できる銀行からのEメールのように見せかけ、問題を避けるために口座情報を更新するように指示する。メッセージは緊急で本物のように見えるため、人々はパスワードやクレジットカード番号のような機密情報を共有してしまうかもしれない。

攻撃者は合法的な組織を装い、被害者を偽のウェブサイトに誘い、そこで機密情報を入力するよう説得します。フィッシング詐欺は、この巧妙な偽装工作と緊迫感により、貴重な個人情報の取得に成功し、無防備な被害者を個人情報の盗難や金銭的な損失の危険にさらすのです。

送信者フィッシング攻撃では、送信者は受信者が知っていると思われる信頼できる人物を模倣(または「スプーフィング」)します。フィッシング攻撃の種類にもよりますが、受信者の家族などの個人、勤務先のCEO、あるいは何かをプレゼントしていると思われる有名人である可能性もあります。フィッシング・メッセージは、PayPal、Amazon、Microsoftのような大企業や銀行、官公庁からのEメールを模倣することがよくあります。

メッセージ信頼できる人物を装って、攻撃者は受信者にリンクのクリックや添付ファイルのダウンロード、送金を依頼する。被害者がメッセージを開くと、恐怖でいっぱいになり、良識ある判断を覆すような恐ろしいメッセージが表示されます。メッセージは、被害者がウェブサイトにアクセスし、直ちに行動を起こすか、何らかの結果を招く危険を冒すよう要求することもあります。

リンク先:ユーザーが餌に釣られてリンクをクリックすると、正規のウェブサイトを模倣したサイトに飛ばされる。ここからユーザー名とパスワードを使ってログインするよう求められる。もしユーザーが騙されやすく、それに応じると、ログイン情報は攻撃者に送られ、攻撃者はそれを使ってIDを盗んだり、銀行口座を盗んだり、ブラックマーケットで個人情報を売ったりする。フィッシングメールの送信先URLは、正規のURLと非常に似ていることが多く、被害者をさらに欺くことができる。

フィッシングの見分け方

フィッシングとは、詐欺師が電子メールやテキストメッセージを使って、パスワード、銀行口座番号、社会保障番号などの機密情報を騙し取ろうとする詐欺行為のことです。フィッシングを見分けるには、特定の赤信号に注意する必要があります。

一般的に、フィッシングメッセージは、銀行、クレジットカード会社、または馴染みのあるオンラインプラットフォームなど、信頼できる情報源から発信されているように見えます。フィッシングメッセージは、不審な動きやあなたのアカウントに問題があることを示唆し、迅速な対応を促します。

フィッシングの一般的な兆候としては、個人情報や金融情報を要求する予期せぬ連絡、見慣れない送信者の電子メールアドレス、一般的な挨拶、スペルミスや文法の間違い、欺瞞的なURLなどが挙げられます。用心深くなり、不審な通信があった場合は、対応する前に関係機関に直接確認することで、フィッシングの試みから身を守ることができます。ここで、フィッシングの兆候についてさらに詳しく説明し、フィッシングを見破る手助けをしたいと思います。

フィッシングの兆候

フィッシング詐欺を見破るのは難しいことですが、ある程度の警戒心と基本的なガイドライン、そして常識があれば、リスクを大幅に減らすことができます。メールの不規則性や特異性を探す。何かおかしいと思ったら、「嗅覚テスト」で判断しましょう。フィッシング詐欺はしばしば恐怖心を利用して判断力を鈍らせるので、自分の直感を信じ、恐怖心には近づかないこと。

フィッシングの兆候は以下の通りです:

サイン1:電子メールは、本当であるにはあまりにも良いように見えるオファーを提示する。

ジャックポットを当てたとか、豪華な賞金を獲得したとか、その他のあり得ない報酬を要求するかもしれない。

サイン2:差出人はわかるが、普段付き合いのある人ではない

差出人の名前を知っていても、それがいつも連絡を取っている相手でない場合、特にメールの内容が普段の仕事と無関係な場合は注意が必要です。同様に、見知らぬ人物や関係のない部署の同僚と一緒にメールのCCになっている場合も要注意です。

サイン3:メッセージは恐怖を誘発する。

緊急感を煽るような言葉遣いで、アカウントの停止を防ぐために「すぐに行動してください」とクリックを促すようなメールは要注意です。合法的な組織がメールで個人情報を要求することはありません。

兆候4:メッセージに予期せぬ、あるいは奇妙な添付ファイルが含まれている。

これらの添付ファイルには、マルウェアや ランサムウェア、その他のオンライン上の脅威が潜んでいる可能性があります。

兆候5:メッセージに怪しげなリンクが含まれている。

上記の指標で疑わしくなくても、埋め込まれたハイパーリンクを決して盲目的に信用しないでください。リンクにカーソルを合わせると、実際のURLが表示されます。一見見慣れたウェブサイトのURLの微妙なスペルミスは、詐欺の赤信号なので特に注意してください。埋め込まれたリンクをクリックするのではなく、ブラウザに手動でURLを入力する方が常に安全です。

フィッシングの標的は?

フィッシングは、企業経営者から日常的なソーシャルメディア・ユーザーやオンライン・バンキング利用者に至るまで、様々な個人や業界をターゲットにした、誰にとっても脅威である。フィッシングの範囲が広いため、オンライン上で注意を払い、予防策を講じることが非常に重要です。用心深く、積極的に行動することで、フィッシング詐欺の被害に遭うリスクを大幅に減らすことができ、すべての人にとってより安全なオンライン体験を保証することができます。

フィッシング攻撃から身を守るには

前述したように、フィッシングはデスクトップ、ラップトップ、タブレット、スマートフォンに現れる可能性のある、機会均等な脅威である。ほとんどのインターネット・ブラウザはリンクが安全かどうかをチェックする方法を備えていますが、フィッシングに対する防御の第一線はあなたの判断力です。フィッシングの兆候を見極める訓練をし、Eメールをチェックする時、Facebook 投稿を読む時、お気に入りのオンラインゲームをプレイする時は常に安全なコンピューティングを実践するよう心がけましょう。

Malwarebytes Labs 、フィッシング攻撃から身を守るための重要なプラクティスをいくつか紹介した:

  1. 見慣れない送信者からのメールは開かないこと。
  2. 行き先がはっきりしない限り、メール内のリンクは絶対にクリックしないこと。
  3. 機密情報の提供を求められたら、ページのURLが「HTTP」だけでなく「HTTPS」で始まっていることを確認すること。S」は「安全」を意味する。そのサイトが合法的であることを保証するものではありませんが、ほとんどの合法的なサイトがHTTPSを使用しているのは、HTTPSの方がより安全だからです。HTTPサイトは、たとえ合法的なサイトであっても、hackers脆弱である。
  4. 多要素認証(MFA)を有効にする:可能な限りMFAを利用し、セキュリティのレイヤーを増やす。たとえフィッシャーがあなたのパスワードを入手したとしても、アカウントにアクセスするためには追加の認証ステップを迂回する必要があります。
  5. ウェブサイトのデジタル証明書を探す。
  6. この保護を強化するために、不確かな送信元から電子メールを受け取った場合は、正規のウェブサイトのアドレスをブラウザに入力して、提供されたリンクに手動で移動する。
  7. リンクをマウスオーバーして、正規のリンクかどうかを確認する。
  8. 正規のメールでない疑いがある場合は、メッセージから名前やテキストを取り出し、検索エンジンに入力して、同じ手法を使った既知のフィッシング攻撃が存在しないか調べてみよう。

以下のような信頼できるアンチウイルス/アンチマルウェアソリューションの使用を強くお勧めします。 Malwarebytes Premiumのような信頼できるアンチウイルス/アンチウェア・ソリューションの使用を強くお勧めします。スマートなアルゴリズムを搭載した最新のサイバーセキュリティ・ツールのほとんどは、悪意のあるリンクや添付ファイルを識別することができ、巧妙なフィッシングの試みに対しても用心深いシールドを提供します。

万が一、フィッシング詐欺に遭ってしまっても、マルウェアの堅牢なセキュリティソフトがお客様の情報を安全に保護します。Malwarebytes無料トライアルをご用意しておりますので、ご購入前にその優れた保護機能をお試しください。

フィッシング攻撃の種類

フィッシング攻撃は、不正に機密情報を収集するために人を欺く方法を使用します。これらは、フィッシング攻撃者がターゲットを欺くための具体的な方法です:

スピアフィッシング

スピアフィッシングは、攻撃者が特定の個人または組織に向けてメッセージを作成するフィッシングの標的型攻撃であり、収集したデータを使用して詐欺の説得力を高めます。名前、役職、電子メールアドレスなどを明らかにするために、攻撃前の偵察が必要となる。

hackers 、この情報を、ターゲットの同僚に関する他の調査された知識、組織内の主要な従業員の名前や仕事上の関係と照合するためにインターネットを探し回る。これをもとに、フィッシャーは信憑性のあるEメールを作成する。

詐欺師は幹部になりすまして従業員を騙し、不正な支払いを承認させることがある。

クジラ・フィッシング

クジラフィッシングは、エグゼクティブ、有名人、Cレベルのビジネスマンなど、知名度の高い個人をターゲットにしています。このフィッシングは、個人情報や仕事上の詳細を明らかにさせようとします。

フィッシング攻撃の多様な形態を理解し識別することは、効果的な防御策を実施し、個人および組織の資産のセキュリティと完全性を確保する上で極めて重要である。

電子メール・フィッシング

電子メールが誕生した当初からよく見られるフィッシングメールは、信頼できる送信元(銀行、オンライン小売業者など)から来たように見せかけ、受信者にリンクをクリックさせたり、添付ファイルをダウンロードさせたりするものである。

例を挙げよう:

  • ビジネスメール詐欺(BEC):ビジネスメール詐欺(BEC)攻撃は、組織の財務部門の誰か(多くの場合CFO)を標的にし、彼らを欺いて大金を送金させようとします。攻撃者は多くの場合、ソーシャルエンジニアリングの手口を使って、受信者に送金が緊急かつ必要であると信じ込ませます。 
  • クローンフィッシング:この攻撃では、リンクまたは添付ファイルを含む、以前に配信された正規のEメールのコピー(クローン)を作成します。そして、リンクや添付ファイルを本物に見せかけた悪意のあるものに置き換えます。疑うことを知らないユーザーは、リンクをクリックしたり、添付ファイルを開いたりして、システムを乗っ取られてしまいます。その後、フィッシャーは被害者の身元を偽造し、同じ組織内の他の被害者に対して信頼できる送信者になりすますことができます。
  • 419/ナイジェリア詐欺ナイジェリアの王子を名乗る人物からの饒舌なフィッシング・メールは、インターネット上で最も古く、最も長く続いている詐欺の一つである。この「王子」は、金銭を提供するが、それを要求するにはまず少額を送金する必要があると言う、あるいは、トラブルに巻き込まれており、その解決のために資金が必要だと言う。419」という数字はこの詐欺に関連している。これはナイジェリア刑法の詐欺を扱うセクションのことで、罪状や犯罪者に対する罰則が定められている。

Vishing (音声フィッシング)

攻撃者は、電話で権威ある人物(銀行職員や法執行機関など)になりすまし、個人を脅して機密情報を共有させたり、資金を送金させたりする。

Smishing (SMSフィッシング)

に似ている。 vishingに似ているが、SMSを介して行われる、 smishingは、受信者が悪意のあるリンクをクリックしたり、個人情報を共有したりするよう促す詐欺的なメッセージを送信する。

Catphishing

攻撃者がオンライン上で偽のペルソナを作成し、金銭的搾取や個人情報へのアクセスを目的とした恋愛関係に個人を誘い込む欺瞞的な手口。

フィッシング攻撃の例

PayPal通知を偽装し、受信者に「今すぐ確認」ボタンをクリックするよう求めるフィッシングの例です。ボタンをマウスオーバーすると、赤い四角の中に本当のURL先が表示されます。

Paypalフィッシングメール

今回もAmazon装ったフィッシング攻撃の画像です。48時間以内に返答がなければアカウントを閉鎖すると脅している。

Amazon フィッシングメール

リンクをクリックすると、このフォームが表示され、フィッシャーがあなたの貴重品を略奪するために必要なものを提供するよう誘う:

フィッシングメール-2

フィッシングはなぜ効果的なのか?

フィッシングは、高度な技術的戦術に頼るのではなく、人間の心理を利用することで顕著な効果を上げている。権威ある人物からの緊急連絡を装うことが多いフィッシング詐欺は、個人の信頼と恐怖を餌食にする。

Malwarebytes Labsアダム・クジャワはこう総括する:「フィッシングは最も単純でありながら、最も強力なサイバー攻撃として際立っている。技術的に洗練されておらず、即座に反応を呼び起こす可能性があることが、フィッシングが依然として広範かつ深刻なオンラインの脅威である理由を浮き彫りにしている。

「フィッシングは最も単純なサイバー攻撃であり、同時に最も危険で効果的である。

フィッシング詐欺師は、あなたのデバイスの操作システムの技術的な脆弱性を突こうとしているのではありません。Windows iPhoneからMacやアンドロイドに至るまで、そのセキュリティがどれほど強固であっても、フィッシングから完全に安全なオペレーティング・システムは存在しません。実際、攻撃者がフィッシングに頼るのは、技術的な脆弱性を見つけられないことが多いからです。

誰かを騙して鍵を渡すことができるのに、何重ものセキュリティーを破って時間を浪費する必要はないだろう。多くの場合、セキュリティ・システムの最も脆弱なリンクは、コンピュータ・コードに埋もれた不具合ではなく、電子メールの送信元を再確認しない人間である。

さて、フィッシングとは何か、そしてフィッシングがどのように機能するのかを探ってきたが、その始まりは1970年代の電話システム・ハッキングにさかのぼる。

フィッシングの歴史

フィッシング」という言葉は、詐欺の試みを釣りになぞらえており、餌を使って被害者をおびき寄せる。この言葉は、電話システムをハッキングする70年代の「フィリーキング」文化に由来すると考えられている。フィッシング」という言葉が生まれる前は

ng」という造語は、1987年の技術会議で同様の手法が発表されたことに由来する。この用語が最初に使われたのは1996年まで遡り、hacker カーン・C・スミスがアメリカ・オンライン(AOL)ユーザーに詐欺を働き、AOLのスタッフになりすましてAOLの人気を悪用し、ユーザー情報を収集したことに関連している。

2000年代に入ると、フィッシャーはオンライン決済システム、バンキング、ソーシャル・メディア・プラットフォームに焦点を移した。彼らは、特にeBayやPayPal なりすました説得力のある偽ドメインを作成し、ユーザーを騙して機密情報を共有させた。銀行を標的にした最初のフィッシング攻撃は2003年に報告された。2000年代半ばまでに、フィッシングは洗練され組織化されたキャンペーンを伴う主要なサイバー脅威となり、多大な金銭的損失を引き起こした。

被害は年々エスカレートしており、2011年の国家をスポンサーとしたキャンペーン、2013年のTargetの大規模なデータ流出、2016年の注目された政治的フィッシングの試みなどが顕著である。この傾向は2017年に入っても続き、グーグルやFacebookハイテク大手から1億ドル以上が誤送信される詐欺事件が発生した。

クジラ・フィッシングとは何か?

quishing何か?

catfishing何か?

スピアフィッシングとは何か?

フィッシングメール

RCSメッセージング

よくあるご質問

なぜフィッシングは違法なのか?

フィッシングが違法かどうか尋ねられると、答えはたいていイエスである。人の個人情報を盗むことはID窃盗を目的としているため、法律で罰せられる可能性がある。

人はなぜフィッシングをするのか?

主な目的は、ダークウェブで販売するためのクレジットカード情報やその他の個人情報を入手し、金銭を得ることだ。時には、人々を騙して銀行情報を教えさせたり、有害なソフトウェアを使って欲しいものを手に入れたりすることもある。