フィッシングは、通常は E メールやテキストメッセージを介して、信頼できる正当な送信元から送られてきたかのように見える不正な情報を送りつける手法です。攻撃者の目的は、金銭を盗んだり、機密データやログイン情報にアクセスしたり、被害者のデバイスにマルウェアをインストールしたりすることにあります。フィッシングは、危険で損害を与える、増加しつつあるサイバー攻撃の一般的なタイプです。
シスコのセキュリティ担当 SVP 兼 GM である Tom Gillis が RSA Conference 2023 で行った基調講演によると、「シスコセキュリティが昨年確認したランサムウェア攻撃の 80% がフィッシングメールに起因するものでした」。
フィッシング攻撃は、ハッカーが、正当で信頼できる送信元から送られてきたかのように見える偽の情報を作成するソーシャルエンジニアリングの試みに依存しています。攻撃者は、金銭やデータを盗み出すために、安全に見える E メールやテキストメッセージで疑いを持たないユーザーをだまして、マルウェアをダウンロードさせたり、感染したサイトにアクセスさせたり、ログイン情報を漏らさせたりといった行動を取らせます。
フィッシング攻撃の動機はいろいろとありますが、攻撃者は主に、被害者の金融アカウントにアクセスして詐欺を働く目的で使用できる、個人を特定できる情報(PII)やログイン情報などの貴重なユーザーデータを探し求めています。攻撃者は、ログイン情報、個人データ、オンラインアカウントへのアクセス、またはクレジットカードのデータを得ると、クラウドに接続されている多くのシステムを変更または侵害でき、場合によっては被害者が身代金を支払うまでコンピュータネットワーク全体を乗っ取ることもあります。
一部のサイバー犯罪者は、単に個人データやクレジットカード情報を得るだけでは満足せず、銀行口座を空にするまで攻撃を止めません。このような場合、サイバー犯罪者は E メールの枠を超えて、「ポップアップフィッシング」に音声フィッシング(ビッシング)や SMS テキストメッセージ(スミッシング)を組み合わせて使用することがあり、被害者は脅されて、銀行口座のアクセス情報などの詳細を漏らしてしまうこともあります。ビッシングやスミッシングは、高齢者や、標的となった組織の金融部門の人員に対して行われることが多いサイバー攻撃の類型であり、誰もが自らを保護する方法と金融セキュリティについて学ぶ必要があります。
フィッシングは、多くの場合にもっともらしい Web サイトのように見える場所で、被害者に機密情報を提供させるもので、信頼できる(また場合によっては一見困っているような)送信者からの正当に見える(ものの不正な)E メールなどの情報により、被害者をだますことで機能します。また、マルウェアやランサムウェアが被害者のコンピュータにダウンロードされることもあります。
誰もがフィッシングの標的になります。ほとんどのフィッシング攻撃は、一定の割合のユーザーがだまされることを期待して、膨大な数の E メールアドレスを標的にします。セキュリティ意識向上トレーニングは、フィッシング攻撃の危険性についてユーザーを教育するのに役立つ、フィッシング目的の情報を識別するための戦略を教えるものです。
フィッシングは、他人を信頼したり、好奇心から行動したり、緊急メッセージに感情的に反応したりする傾向など、人間の本質の弱い部分を悪用するため効果的です。またフィッシング攻撃は、ダーク Web ですぐに手に入るフィッシングキットで簡単に実行できるようになりつつあります。大量の E メールアドレスを簡単に取得してほぼ無料で E メールを送信できるため、攻撃者が比較的低リスクで実行することが可能なものとなっています。
フィッシング攻撃の最初の原型は、数十年前にチャットルームで姿を現しました。それ以降、フィッシングは複雑さの面で進化し、ビジネスメール詐欺(BEC)、メールアカウント乗っ取り(ATO)、ランサムウェアにつながる、インターネット上で最大にして最も被害額の大きいサイバー犯罪の 1 つとなりました。最近では、AI を活用したスペルミスの修正やメッセージのパーソナライズにより、攻撃者は高度な攻撃や標的型攻撃を実行しやすくなっています。たとえば、サイバー犯罪者は標的にしたいグループや個人の識別情報を収集し、その情報を使用してスピアフィッシングと呼ばれる高度にパーソナライズされたフィッシングキャンペーンを仕掛けています。スピアフィッシングの情報は非常にパーソナライズしやすいため、特に正当に見えることがあり、これまで以上に危険なものとなっています。
その一方、AI セキュリティソリューションによって高度な検出技術と防御技術が生み出されていますが、現在展開されている Cisco Secure 製品は、セキュリティのタッチポイントと幅広くやり取りする予測型の生成 AI を活用しています。Cisco Secure Email Threat Defense は、自然言語処理(NLP)など独自の人工知能モデルと機械学習モデルを使用しています。これにより、お客様の組織を狙った攻撃で使用された悪意のある手法を特定し、個々のビジネスリスクに応じて他に例を見ないほどのコンテキストを導き出します。また、検索可能な脅威テレメトリを提供し、脅威を分類して組織の中で攻撃に対して最も脆弱な部分を把握できるようにします。
シスコは近く、組織をデータ損失や標的型の E メール攻撃から守るソリューションを開発する、カリフォルニア州サニーベールに拠点を置く Armorblox 社を買収します。同社のソリューションを統合することで攻撃の予測が強化されるため、すばやく脅威を検出し、ポリシーを効率的に適用してフィッシングへの対応時間を短縮できるようになります。
フィッシング攻撃を招くギャップについて、シスコの eBook『Phishing for Dummies』をご覧ください。
E メールフィルタと従業員の意識向上トレーニングを含む、多層型のアプローチを取り入れることが重要です。攻撃者がセキュリティ防御をくぐり抜けた場合、一般的には従業員が最後の砦になります。
フィッシング攻撃にひっかかってしまったことがある場合は、フィッシング攻撃を認識、防御、修正する方法を学んでセキュリティに関してレジリエントになりましょう。そのためにまず、フィッシング意識向上クイズでフィッシングに関する知識をテストしてください。
すべてのフィッシング攻撃を防ぐことができるサイバーセキュリティ ソリューションは 1 つもありません。組織は、フィッシング攻撃の数を減らすとともに、攻撃が起きたときの影響を軽減するために、サイバーセキュリティ テクノロジーを展開して階層型のセキュリティアプローチを取る必要があります。
スピアフィッシング、タイポスクワッティング、ステガノグラフィなどの最新のフィッシング攻撃手法と高度なサイバーセキュリティ手法でそれらに対抗する方法については、シスコの新しい eBook『Phishing for Dummies』の第 1 章「Phishing 101」をご覧ください。
階層型のセキュリティソリューションを展開する |
組織は、フィッシング防御のための Cisco Umbrella と受信トレイ保護のための Cisco Secure Email Threat Defense を展開できます。また、フィッシング防御など、あらゆるものからあらゆる場所へのセキュアなアクセスを提供する、ゼロトラストに基づいたクラウドベースのセキュリティサービスエッジ(SSE)ソリューションである、Cisco Secure Access についても検討してみてください。さらに、Cisco Duo のような強力な MFA ソリューションでも、フィッシングによってログイン情報を盗み出した攻撃者予備軍を阻止できます。 |
|
定期的にトレーニングを実施する |
フィッシングに関するトレーニングとフィッシング防止戦略は、組織を防御するための取り組みで従業員の協力を得るのに役立ちます。その一環として、Cisco Secure 意識向上トレーニングを実施してみてください。フィッシングのシミュレーションと意識向上トレーニングにより、フィッシングの試みを特定して報告する方法をユーザーが学ぶことができます。 |
|
連絡先情報をオンラインに投稿しないようにする |
一部の攻撃者は、ソーシャルメディアや Web サイトから情報を収集しています。E メールの署名から主要関係者の携帯電話番号を収集し、その情報をスピアフィッシング キャンペーンやスミッシングキャンペーンに使用しています。 |
|
E メールアドレスに関する独自の規則を作る |
一般的な E メールアドレスの命名規則は、オープンなインターネットで共有されており、ほとんどのパターンは簡単に推測できます。標準的な名(ドット)姓の形式や名のイニシャルに姓を組み合わせたパターンに従わない E メールの命名規則を作ることを検討してください。組織全体で E メールの名前をランダム化すれば、大規模に推測できなくなります。 |
|
セキュアなメッセージング プラットフォームを展開する |
E メールは今もなおフィッシング攻撃の最大のベクトルですが、多くの組織は、社内通信用の Cisco Webex Messaging をはじめとする、メッセージング プラットフォームのセキュリティに目を向けています。メッセージング プラットフォームは、通信における E メールへの全体的な依存を低減させるため、結果として E メールの量が減ります。
|
Sorry, no results matched your search criteria(s). Please try again.
デスクトップデバイスやモバイルデバイスでフィッシングメールを検出する方法を紹介します。フィッシングメールを検出するための基本的なステップとしては、以下のようなものが挙げられます。
E メールクライアント |
フィッシング攻撃を認識する最善の方法の 1 つである、ハイパーテキストリンクを調べます。E メール本文のスペルミスや文法の誤りを探します。E メールの送信元のドメインが正しいスペルになっていることを確認します。たとえば、フィッシングメールでは文字の代わりに数字が使用されていることが少なくありません。 |
|
E メールのハイパーリンクを確認する |
ブラウザでは、ハイパーリンクのホバーポップアップ ウィンドウに宛先 URL が表示されます。宛先 URL リンクが E メールに記載されているものと同じであることを確認します。さらに、見慣れない文字が含まれていたり、短縮されていたりするリンクについては、慎重にクリックします。 |
|
モバイルデバイス |
ハイパーリンクの宛先 URL を指差しで確認します。URL のプレビューは、小さいポップアップウィンドウに表示されます。 |
|
Web ページ |
アンカーテキストにカーソルを合わせて、ブラウザウィンドウの左下隅に表示される宛先 URL を見つけます。フィッシングの特定スキルをチェックします。 |
Sorry, no results matched your search criteria(s). Please try again.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Sorry, no results matched your search criteria(s). Please try again.
BEC 攻撃は、組織のエグゼクティブベンダーやサプライヤになりすます、念入りに計画して研究された攻撃です。
フィッシングの概要と BEC の検出が難しい理由をご覧ください。
E メールアカウント侵害。これは、従業員の E メールアカウントがハッキングされてベンダーからの支払いの要求に使用される、多く見られるタイプの BEC です。このような侵害が起きると、攻撃者が管理する銀行口座への送金が行われます。
従業員のなりすまし。このタイプの BEC は、攻撃者が信頼できる内部の従業員やベンダーになりすまし、E メールを通じて金銭や機密情報を盗み出す、E メール詐欺の形態を取っています。
VIP のなりすまし。このタイプの攻撃は、悪意のある攻撃者が、侵害された正規の企業、個人、または VIP の E メールを使用して疑いを持たない被害者に E メールを送り、支払いや送金を求めたときに起きます。
外部決済詐欺。請求書決済を要求するために、信頼できるベンダーになりすました E メール攻撃が疑いを持たない被害者に送信されます。これは、ベンダーメール詐欺(VEC)としても知られています。
内部決済詐欺。攻撃者は、盗み出したログイン情報を使用して決済プラットフォームなどの内部決済システムにアクセスしたり、ベンダーになりすましたり、支払先を変更したり、送金先を自身の口座に変えたりできます。
給与支払先変更詐欺。攻撃者は、盗み出した E メールのログイン情報を使用して、組織の給与部門や経理部門に口座振込情報の変更を求める E メールを送信します。
ソーシャルエンジニアリング。心理学を用いた説得によって標的の信頼を獲得し、警戒を緩めさせて個人情報を漏らさせるといった危険な行動を取らせる攻撃です。
恐喝。一般的にビッシング詐欺で用いられる、脅迫的な行為や威圧的な行為によって金銭などの利益を得る攻撃です。
悪意のある偵察メール。これは正当な E メール通信のように見えますが、実際には、反応を引き出して機密性の高いユーザーや組織のデータを取得する目的で攻撃者が送信した E メールです。
クレデンシャルフィッシング。攻撃者は、E メールと偽のログインページを使用して正当なエンティティになりすまし、ログイン情報を盗み出します。その後、被害者から盗み出したログイン情報を用いてさらに攻撃を仕掛けたり、データを引き出したりします。
攻撃者が Microsoft 365 の E メールアドレスなどのクラウドメールにアクセスする目的で使用するこの手法は、比較的シンプルで広く見られるようになりつつあります。このようなフィッシングキャンペーンは通常、Microsoft 社からの E メールになりすまします。E メールには、パスワードのリセットが必要、最近ログインしていない、またはアカウントに注意が必要な問題があるといったことが記載された、ログインリクエストが含まれています。また、ユーザーにクリックして問題を修復するように仕向ける URL が含まれています。
スピアフィッシングは、幅広い層のユーザーではなく特定の個人を標的にします。攻撃者はそのように情報をカスタマイズし、より一層本物のように見せかけることができます。多くの場合、スピアフィッシングは、企業の防御をすり抜けて標的型攻撃を実行するために用いられる最初のステップとなります。SANS Institute によると、エンタープライズ ネットワークに対するすべての攻撃の 95% は、スピアフィッシングが成功した後に仕掛けられています。
攻撃者が CEO などの「重要人物」を標的にした場合、それはホエーリングと呼ばれます。多くの場合、このような攻撃では、ログイン情報を盗み出すチャンスと手段を見出すための標的のプロファイリングにかなりの時間が費やされます。上級管理職は組織の膨大な機密情報にアクセスできるため、ホエーリングは特に懸念されています。
音声フィッシング(ビッシング)は、ソーシャルエンジニアリングの 1 つであり、ログイン情報などの機密情報を取得することを目的とした、不正な電話やボイスメッセージです。たとえば、攻撃者から組織やサブスクリプションサービスのサポートエージェントやサポート担当者を装った電話がかかってくることがあるかもしれません。新入社員はこの種の詐欺にだまされやすいことが少なくありませんが、こうした攻撃は誰もが受ける可能性があり、一般的になりつつあります。この種の電話を防ぐ戦術としては、迷惑電話ブロックソフトウェアを展開するのが一般的です。
テキストメッセージ(SMS)フィッシングは、ランダムなブロードキャスト テキスト メッセージで仕掛けられることもあれば、組織の同僚になりすますこともあります。またスミッシングメッセージに関しては、リンクが含まれていることもあれば、早急なアクションを求められることもあります。どちらにしても、知らない携帯電話番号であれば、そのメッセージを削除してください。確信がない場合は、有効な電話番号を使用して個人に連絡し、そのタスクが正当なものであることを確認してください。
アングラーフィッシングはビッシングに似ていますが、攻撃者は、電話ではなくソーシャル メディア プラットフォームのダイレクトメッセージで接触してきます。被害者は偽の顧客サービスエージェントの標的になります。詐欺対策の専門家でさえこうした攻撃にだまされたことがあるため、このような手法の有効性を過小評価してはなりません。
フィッシングは、進化の過程で(スピアフィッシングやスミッシングといった)さまざまな名前を付けられ、フィッシング攻撃は、侵害された Web サイト、ソーシャルメディア、偽広告、QR コード、添付ファイル、テキストメッセージなど、さまざまなチャンネルで仕掛けられます。