フィッシングとは

フィッシングは、通常は E メールやテキストメッセージを介して、信頼できる正当な送信元から送られてきたかのように見える不正な情報を送りつける手法です。攻撃者の目的は、金銭を盗んだり、機密データやログイン情報にアクセスしたり、被害者のデバイスにマルウェアをインストールしたりすることにあります。フィッシングは、危険で損害を与える、増加しつつあるサイバー攻撃の一般的なタイプです。

シスコに問い合わせ

  • シスコに問い合わせ
  • 問い合わせ先一覧
  • セールスに電話する:
  • 0120 092 255
  • 営業時間 (9:00 - 17:00)

フィッシング戦術とセキュリティ戦術は、世界中で人工知能が使用されるようになるのに伴ってさらに進化していくものと思われる

シスコのセキュリティ担当 SVP 兼 GM である Tom Gillis が RSA Conference 2023 で行った基調講演によると、「シスコセキュリティが昨年確認したランサムウェア攻撃の 80% がフィッシングメールに起因するものでした」。

ユーザーをだますフィッシング詐欺の手法

フィッシング攻撃は、ハッカーが、正当で信頼できる送信元から送られてきたかのように見える偽の情報を作成するソーシャルエンジニアリングの試みに依存しています。攻撃者は、金銭やデータを盗み出すために、安全に見える E メールやテキストメッセージで疑いを持たないユーザーをだまして、マルウェアをダウンロードさせたり、感染したサイトにアクセスさせたり、ログイン情報を漏らさせたりといった行動を取らせます。

ハッカーがフィッシング詐欺を行う理由

フィッシング攻撃の動機はいろいろとありますが、攻撃者は主に、被害者の金融アカウントにアクセスして詐欺を働く目的で使用できる、個人を特定できる情報(PII)やログイン情報などの貴重なユーザーデータを探し求めています。攻撃者は、ログイン情報、個人データ、オンラインアカウントへのアクセス、またはクレジットカードのデータを得ると、クラウドに接続されている多くのシステムを変更または侵害でき、場合によっては被害者が身代金を支払うまでコンピュータネットワーク全体を乗っ取ることもあります。

一部のサイバー犯罪者は、単に個人データやクレジットカード情報を得るだけでは満足せず、銀行口座を空にするまで攻撃を止めません。このような場合、サイバー犯罪者は E メールの枠を超えて、「ポップアップフィッシング」に音声フィッシング(ビッシング)や SMS テキストメッセージ(スミッシング)を組み合わせて使用することがあり、被害者は脅されて、銀行口座のアクセス情報などの詳細を漏らしてしまうこともあります。ビッシングやスミッシングは、高齢者や、標的となった組織の金融部門の人員に対して行われることが多いサイバー攻撃の類型であり、誰もが自らを保護する方法と金融セキュリティについて学ぶ必要があります。 

フィッシングの仕組み 

フィッシングは、多くの場合にもっともらしい Web サイトのように見える場所で、被害者に機密情報を提供させるもので、信頼できる(また場合によっては一見困っているような)送信者からの正当に見える(ものの不正な)E メールなどの情報により、被害者をだますことで機能します。また、マルウェアやランサムウェアが被害者のコンピュータにダウンロードされることもあります。 

  • フィッシングでは、恐怖感、好奇心、切迫感、そして受信者に添付ファイルを開かせたり、リンクをクリックさせたりといった戦術が用いられることが多くあります。
  • フィッシング攻撃は、正当な企業や個人から来たものに見えるように工夫されています。
  • サイバー犯罪者は、絶えずイノベーションを生み出し、スピアフィッシング(特定の人物やグループを標的とした攻撃)などの戦略をはじめとする、高度化しつつある手法を使用してユーザーにクリックやタップをさせています。
  • フィッシング攻撃は、1 回成功するだけでネットワークを侵害してデータを盗み出せるため、常に考えてからクリックすることが重要です(このリンクは、フィッシングに関する重要な統計や情報が書かれた文書ですので、クリックしても問題ありません)。

フィッシングの標的

誰もがフィッシングの標的になります。ほとんどのフィッシング攻撃は、一定の割合のユーザーがだまされることを期待して、膨大な数の E メールアドレスを標的にします。セキュリティ意識向上トレーニングは、フィッシング攻撃の危険性についてユーザーを教育するのに役立つ、フィッシング目的の情報を識別するための戦略を教えるものです。

フィッシング攻撃が非常に効果的である理由 

フィッシングは、他人を信頼したり、好奇心から行動したり、緊急メッセージに感情的に反応したりする傾向など、人間の本質の弱い部分を悪用するため効果的です。またフィッシング攻撃は、ダーク Web ですぐに手に入るフィッシングキットで簡単に実行できるようになりつつあります。大量の E メールアドレスを簡単に取得してほぼ無料で E メールを送信できるため、攻撃者が比較的低リスクで実行することが可能なものとなっています。

AI とともに進化するフィッシング

フィッシング攻撃の最初の原型は、数十年前にチャットルームで姿を現しました。それ以降、フィッシングは複雑さの面で進化し、ビジネスメール詐欺(BEC)、メールアカウント乗っ取り(ATO)、ランサムウェアにつながる、インターネット上で最大にして最も被害額の大きいサイバー犯罪の 1 つとなりました。最近では、AI を活用したスペルミスの修正やメッセージのパーソナライズにより、攻撃者は高度な攻撃や標的型攻撃を実行しやすくなっています。たとえば、サイバー犯罪者は標的にしたいグループや個人の識別情報を収集し、その情報を使用してスピアフィッシングと呼ばれる高度にパーソナライズされたフィッシングキャンペーンを仕掛けています。スピアフィッシングの情報は非常にパーソナライズしやすいため、特に正当に見えることがあり、これまで以上に危険なものとなっています。 

その一方、AI セキュリティソリューションによって高度な検出技術と防御技術が生み出されていますが、現在展開されている Cisco Secure 製品は、セキュリティのタッチポイントと幅広くやり取りする予測型の生成 AI を活用しています。Cisco Secure Email Threat Defense は、自然言語処理(NLP)など独自の人工知能モデルと機械学習モデルを使用しています。これにより、お客様の組織を狙った攻撃で使用された悪意のある手法を特定し、個々のビジネスリスクに応じて他に例を見ないほどのコンテキストを導き出します。また、検索可能な脅威テレメトリを提供し、脅威を分類して組織の中で攻撃に対して最も脆弱な部分を把握できるようにします。 

シスコは近く、組織をデータ損失や標的型の E メール攻撃から守るソリューションを開発する、カリフォルニア州サニーベールに拠点を置く Armorblox 社を買収します。同社のソリューションを統合することで攻撃の予測が強化されるため、すばやく脅威を検出し、ポリシーを効率的に適用してフィッシングへの対応時間を短縮できるようになります。

フィッシングの危険性:フィッシングされた場合に想定される事態

フィッシング攻撃を招くギャップについて、シスコの eBook『Phishing for Dummies』をご覧ください。

個人を標的としたフィッシングのリスク:

  • 銀行口座からの金銭の盗難
  • クレジットカードの不正請求
  • 写真、動画、ファイルへのアクセスの喪失
  • お客様のアカウントで行われた偽の SNS 投稿
  • お客様になりすまして友人や家族をリスクにさらすサイバー犯罪者

職場でのフィッシングのリスク:

  • 企業資金の損失
  • パートナー、同僚、顧客の個人情報の漏洩
  • ファイルがロックされてアクセスできなくなる
  • 組織の評判の低下

組織でフィッシングに対する意識を向上させる方法

E メールフィルタと従業員の意識向上トレーニングを含む、多層型のアプローチを取り入れることが重要です。攻撃者がセキュリティ防御をくぐり抜けた場合、一般的には従業員が最後の砦になります。

フィッシング攻撃にひっかかってしまったことがある場合は、フィッシング攻撃を認識、防御、修正する方法を学んでセキュリティに関してレジリエントになりましょう。そのためにまず、フィッシング意識向上クイズでフィッシングに関する知識をテストしてください。

フィッシングの防御:フィッシングに対する最善の防御とは

すべてのフィッシング攻撃を防ぐことができるサイバーセキュリティ ソリューションは 1 つもありません。組織は、フィッシング攻撃の数を減らすとともに、攻撃が起きたときの影響を軽減するために、サイバーセキュリティ テクノロジーを展開して階層型のセキュリティアプローチを取る必要があります。 

スピアフィッシング、タイポスクワッティング、ステガノグラフィなどの最新のフィッシング攻撃手法と高度なサイバーセキュリティ手法でそれらに対抗する方法については、シスコの新しい eBook『Phishing for Dummies』の第 1 章「Phishing 101」をご覧ください。

階層型のセキュリティソリューションを展開する

組織は、フィッシング防御のための Cisco Umbrella と受信トレイ保護のための Cisco Secure Email Threat Defense を展開できます。また、フィッシング防御など、あらゆるものからあらゆる場所へのセキュアなアクセスを提供する、ゼロトラストに基づいたクラウドベースのセキュリティサービスエッジ(SSE)ソリューションである、Cisco Secure Access についても検討してみてください。さらに、Cisco Duo のような強力な MFA ソリューションでも、フィッシングによってログイン情報を盗み出した攻撃者予備軍を阻止できます。

  

定期的にトレーニングを実施する

フィッシングに関するトレーニングとフィッシング防止戦略は、組織を防御するための取り組みで従業員の協力を得るのに役立ちます。その一環として、Cisco Secure 意識向上トレーニングを実施してみてください。フィッシングのシミュレーションと意識向上トレーニングにより、フィッシングの試みを特定して報告する方法をユーザーが学ぶことができます。

  

連絡先情報をオンラインに投稿しないようにする

一部の攻撃者は、ソーシャルメディアや Web サイトから情報を収集しています。E メールの署名から主要関係者の携帯電話番号を収集し、その情報をスピアフィッシング キャンペーンやスミッシングキャンペーンに使用しています。

  

E メールアドレスに関する独自の規則を作る

一般的な E メールアドレスの命名規則は、オープンなインターネットで共有されており、ほとんどのパターンは簡単に推測できます。標準的な名(ドット)姓の形式や名のイニシャルに姓を組み合わせたパターンに従わない E メールの命名規則を作ることを検討してください。組織全体で E メールの名前をランダム化すれば、大規模に推測できなくなります。

  

セキュアなメッセージング プラットフォームを展開する

E メールは今もなおフィッシング攻撃の最大のベクトルですが、多くの組織は、社内通信用の Cisco Webex Messaging をはじめとする、メッセージング プラットフォームのセキュリティに目を向けています。メッセージング プラットフォームは、通信における E メールへの全体的な依存を低減させるため、結果として E メールの量が減ります。

このアプローチにフィッシング対策トレーニングを組み合わせることにより、従業員はさらに多くの時間と労力を不正な E メールの検出に費やせるようになります。

 

  

Sorry, no results matched your search criteria(s). Please try again.

フィッシングを検出する方法

デスクトップデバイスやモバイルデバイスでフィッシングメールを検出する方法を紹介します。フィッシングメールを検出するための基本的なステップとしては、以下のようなものが挙げられます。

E メールクライアント

フィッシング攻撃を認識する最善の方法の 1 つである、ハイパーテキストリンクを調べます。E メール本文のスペルミスや文法の誤りを探します。E メールの送信元のドメインが正しいスペルになっていることを確認します。たとえば、フィッシングメールでは文字の代わりに数字が使用されていることが少なくありません。 

  

E メールのハイパーリンクを確認する

ブラウザでは、ハイパーリンクのホバーポップアップ ウィンドウに宛先 URL が表示されます。宛先 URL リンクが E メールに記載されているものと同じであることを確認します。さらに、見慣れない文字が含まれていたり、短縮されていたりするリンクについては、慎重にクリックします。

  

モバイルデバイス

ハイパーリンクの宛先 URL を指差しで確認します。URL のプレビューは、小さいポップアップウィンドウに表示されます。

  

Web ページ

アンカーテキストにカーソルを合わせて、ブラウザウィンドウの左下隅に表示される宛先 URL を見つけます。フィッシングの特定スキルをチェックします

  

Sorry, no results matched your search criteria(s). Please try again.

個人はその他にも、次のようなステップに従うことでフィッシングに対する安全性を高められます。

  • 不明な送信元からの E メールリンクをクリックしない
  • ブラウザを最新の状態に保つ
  
  • オンラインアカウントを定期的に監視する
  • ポップアップウィンドウに注意する
  
  • E メールで個人情報を送らない
  • 不明な人物からのテキストメッセージや電話に注意する
  
  • ソーシャルメディアの誘惑に注意する
  • 悪意のある URL の検出機能やコンテンツフィルタリングを展開する
  
  • フィッシング教育の一環として、シスコのフィッシングクイズに答える
  • 高度なフィッシング防御で最新のフィッシング攻撃を追跡する
  

Sorry, no results matched your search criteria(s). Please try again.

最も一般的なフィッシング攻撃のタイプ

ビジネスメール詐欺(BEC)

BEC 攻撃は、組織のエグゼクティブベンダーやサプライヤになりすます、念入りに計画して研究された攻撃です。 

フィッシングの概要と BEC の検出が難しい理由をご覧ください

ビジネスメール詐欺(BEC)のインフォグラフィックを見る

最も多く見られる BEC に関連するフィッシング脅威

E メールアカウント侵害。これは、従業員の E メールアカウントがハッキングされてベンダーからの支払いの要求に使用される、多く見られるタイプの BEC です。このような侵害が起きると、攻撃者が管理する銀行口座への送金が行われます。

従業員のなりすまし。このタイプの BEC は、攻撃者が信頼できる内部の従業員やベンダーになりすまし、E メールを通じて金銭や機密情報を盗み出す、E メール詐欺の形態を取っています。

VIP のなりすまし。このタイプの攻撃は、悪意のある攻撃者が、侵害された正規の企業、個人、または VIP の E メールを使用して疑いを持たない被害者に E メールを送り、支払いや送金を求めたときに起きます。

外部決済詐欺。請求書決済を要求するために、信頼できるベンダーになりすました E メール攻撃が疑いを持たない被害者に送信されます。これは、ベンダーメール詐欺(VEC)としても知られています。

内部決済詐欺。攻撃者は、盗み出したログイン情報を使用して決済プラットフォームなどの内部決済システムにアクセスしたり、ベンダーになりすましたり、支払先を変更したり、送金先を自身の口座に変えたりできます。

給与支払先変更詐欺。攻撃者は、盗み出した E メールのログイン情報を使用して、組織の給与部門や経理部門に口座振込情報の変更を求める E メールを送信します。

ソーシャルエンジニアリング。心理学を用いた説得によって標的の信頼を獲得し、警戒を緩めさせて個人情報を漏らさせるといった危険な行動を取らせる攻撃です。

恐喝。一般的にビッシング詐欺で用いられる、脅迫的な行為や威圧的な行為によって金銭などの利益を得る攻撃です。

悪意のある偵察メール。これは正当な E メール通信のように見えますが、実際には、反応を引き出して機密性の高いユーザーや組織のデータを取得する目的で攻撃者が送信した E メールです。

クレデンシャルフィッシング。攻撃者は、E メールと偽のログインページを使用して正当なエンティティになりすまし、ログイン情報を盗み出します。その後、被害者から盗み出したログイン情報を用いてさらに攻撃を仕掛けたり、データを引き出したりします。

アカウント乗っ取り(ATO)

攻撃者が Microsoft 365 の E メールアドレスなどのクラウドメールにアクセスする目的で使用するこの手法は、比較的シンプルで広く見られるようになりつつあります。このようなフィッシングキャンペーンは通常、Microsoft 社からの E メールになりすまします。E メールには、パスワードのリセットが必要、最近ログインしていない、またはアカウントに注意が必要な問題があるといったことが記載された、ログインリクエストが含まれています。また、ユーザーにクリックして問題を修復するように仕向ける URL が含まれています。 

フィッシングの概要と ATO がどのように起きるのかをご覧ください。

ブログ:偽の Office 365 メールの特定

スピアフィッシング

スピアフィッシングは、幅広い層のユーザーではなく特定の個人を標的にします。攻撃者はそのように情報をカスタマイズし、より一層本物のように見せかけることができます。多くの場合、スピアフィッシングは、企業の防御をすり抜けて標的型攻撃を実行するために用いられる最初のステップとなります。SANS Institute によると、エンタープライズ ネットワークに対するすべての攻撃の 95% は、スピアフィッシングが成功した後に仕掛けられています。

フィッシングを阻止するためのヒント(PDF)

ブログ:スピアフィッシングを特定する方法

ホエーリング

攻撃者が CEO などの「重要人物」を標的にした場合、それはホエーリングと呼ばれます。多くの場合、このような攻撃では、ログイン情報を盗み出すチャンスと手段を見出すための標的のプロファイリングにかなりの時間が費やされます。上級管理職は組織の膨大な機密情報にアクセスできるため、ホエーリングは特に懸念されています。

音声フィッシング(ビッシング)

音声フィッシング(ビッシング)は、ソーシャルエンジニアリングの 1 つであり、ログイン情報などの機密情報を取得することを目的とした、不正な電話やボイスメッセージです。たとえば、攻撃者から組織やサブスクリプションサービスのサポートエージェントやサポート担当者を装った電話がかかってくることがあるかもしれません。新入社員はこの種の詐欺にだまされやすいことが少なくありませんが、こうした攻撃は誰もが受ける可能性があり、一般的になりつつあります。この種の電話を防ぐ戦術としては、迷惑電話ブロックソフトウェアを展開するのが一般的です。

SMS フィッシング(スミッシング)

テキストメッセージ(SMS)フィッシングは、ランダムなブロードキャスト テキスト メッセージで仕掛けられることもあれば、組織の同僚になりすますこともあります。またスミッシングメッセージに関しては、リンクが含まれていることもあれば、早急なアクションを求められることもあります。どちらにしても、知らない携帯電話番号であれば、そのメッセージを削除してください。確信がない場合は、有効な電話番号を使用して個人に連絡し、そのタスクが正当なものであることを確認してください。

アングラーフィッシング

アングラーフィッシングはビッシングに似ていますが、攻撃者は、電話ではなくソーシャル メディア プラットフォームのダイレクトメッセージで接触してきます。被害者は偽の顧客サービスエージェントの標的になります。詐欺対策の専門家でさえこうした攻撃にだまされたことがあるため、このような手法の有効性を過小評価してはなりません。

フィッシングは、進化の過程で(スピアフィッシングやスミッシングといった)さまざまな名前を付けられ、フィッシング攻撃は、侵害された Web サイト、ソーシャルメディア、偽広告、QR コード、添付ファイル、テキストメッセージなど、さまざまなチャンネルで仕掛けられます。

フィッシング意識向上クイズ

フィッシング攻撃が疑われる場合に従業員としてすべきことはどれですか。

  1. 組織が調査できるように報告する。
  2. 無視する。
  3. E メールを開いて正当に見えるかどうかを確認する。
  4. 同僚に見せてどう思うのかを確認する。

最も多く見られるフィッシング詐欺の証拠はどれですか。

  1. 立派なグラフィックとレイアウト
  2. 個人情報が含まれている
  3. スペルや文法が正確
  4. 不明な送信者、切迫感、予想外の添付ファイル、話がうますぎる

全世界で毎日何通のフィッシングメールが送信されていますか。

  1. 1 億
  2. 2 億 5,000 万
  3. 15 億
  4. 34 億

スピアフィッシングとは何ですか。

  1. 休暇のオファーを含むフィッシングの一種
  2. 大きな報酬を約束するフィッシングの一種
  3. 組織内の特定のグループを標的とするフィッシングの一種
  4. 楽しいオファーで受信者を誘惑してウイルスを拡散するフィッシングの一種

フィッシングメールのリンクや添付ファイルをクリックすると何が起きる可能性がありますか。

  1. E メールの送信者が企業システムにアクセスできるようになる可能性がある。
  2. E メールの送信者が個人情報や企業情報を盗み出す可能性がある。
  3. E メールの送信者が企業ネットワークにマルウェアをばらまく可能性がある。
  4. 上記すべて

組織の E メールの管理とセキュリティが行き届いている場合でも、フィッシングメールに注意することが重要なのはなぜですか。

  1. フィッシングメールは常に高度化しており、各自が警戒する必要があるため。
  2. IT 部門はいくつかの予防策を講じているものの、個人ユーザーの個人デバイスを管理していないため。
  3. フィッシングメールは個人の E メールアカウントに届く可能性が最も高く、それを意識することに損はないため。
  4. 上記すべて

フィッシング攻撃の実行者はどのようにして他人のアイデンティティを盗み出すことができますか。

  1. 特殊詐欺などで個人情報を盗み出すときのように、フィッシングメッセージを E メールで送信するときに他の誰かのふりをする。
  2. フィッシングメールからリンクされている Web ページやポップアップウィンドウで個人情報を求め、そこで得た情報を入力して違法な購入を行ったり、詐欺を働いたりする。
  3. 受信者の運転免許証やクレジットカードを要求する。
  4. ブラックマーケットで ID を購入するための資金を要求する。

フィッシングメールの送信者が自然災害や健康上の不安があると張り切るのはなぜですか。

  1. 人々は、ハリケーンやインフルエンザの大流行などに気を取られると、E メールを慎重に読まなくなりがちだから。
  2. フィッシング詐欺師は、自然災害、健康上の不安、選挙など、今起きている出来事に乗じ、それらのテーマに沿ったメッセージを送って人々の不安をあおることが多いから。
  3. 天候に不安を感じているとフィッシングメールに心を動かされる人が増えるから。
  4. 嵐などの自然災害が原因で停電が起きると、人々は通信の復旧に躍起になり、電力供給が再開されたときに受信した E メールに反応するから。

E メールが本物なのかフィッシングなのかわからない場合、次のどのアクションを取るべきですか。

  1. 知らない送信者からの E メールで、あいまいで一般的すぎる場合や、自分のオンラインアカウントを何らかの形で脅し取ろうとしているような場合は、フィッシングとして報告する。
  2. PayPal や銀行からアラートメールが届いた場合には、新しいブラウザウィンドウを開いて自身のアカウントにアクセスし、アカウントで何かが起きていないかどうかを確認する。
  3. Amazon からのオファーのように見え、詳しく調べると実際に Amzon.co から届いていた場合、報告してその E メールを削除する。
  4. 上記すべて

スタートアップガイド

シスコとつながる

E メールセキュリティの関連トピック

シスコブログ