/ フィッシングとは
フィッシングとは
フィッシング攻撃の仕組み
盗みを成功させる最も効果的なアプローチは、その行為が盗みであることを相手に気づかれないようにすることです。フィッシングの基本的な手口はまさにこれです。
フィッシング攻撃は信頼できる相手からのように思えるメール、電話、SMS、ソーシャル メディアの投稿などから始まります。攻撃者はここから多岐にわたる目的を達成するためにターゲットを欺き、アカウント情報を提供させたり、PayPalで送金させたり、偽装マルウェアをダウンロードさせたりするのです。
一般的な例を見てみましょう。攻撃者はターゲットのメール アドレスまたは電話番号を入手すると、ターゲットが利用する銀行になりすましてメールやテキスト メッセージを送ります。このフィッシング メッセージは通常、期限が迫る特別キャンペーンや個人情報流出の可能性などに言及して、ターゲットに口座にログインするよう促します。しかし、メッセージ内のログイン ページは正規のものではないため、ターゲットは無意識のうちに攻撃者にログイン情報を提供することになります。
ほとんどのフィッシング攻撃と同様に、この例で示した攻撃でも巧妙に切迫感を作り出すことでターゲットを欺き、警戒心を緩め、メッセージの信憑性を検討する時間を取らせないようにしています。単純に思えるかもしれませんが、攻撃者は膨大なノウハウをベースに作戦を実行しているため、簡単にはフィッシングを見抜けないのが実状です。
フィッシング攻撃の種類
攻撃者は多様なフィッシング手法を編み出しており、さまざまな技術、トレンド、業界、ユーザーに狙いを定めています。一般的なフィッシングの手口として、以下の攻撃が挙げられます。
- メール フィッシング:正当な差出人を装ったメールで受信者をだまし、悪意のあるリンクをクリックさせたり、ウイルスが仕込まれたファイルをダウンロードさせたりします。フィッシング メールでは、スプーフィング手法を用いてアドレスやURLを正規のものに見せかけている可能性があります。
- スミッシング/SMSフィッシング:モバイル デバイスに送信されるテキスト メッセージを介してターゲットを欺き、クレジット カード番号や口座番号などの個人情報を提供させます。
- ビッシング/ボイス フィッシング:電話で行われること以外は基本的にスミッシングと同じです。クレジット カード情報などの機密情報を狙います。
- アングラー フィッシング:正規の組織を装った攻撃者が、ソーシャル メディア上で個人情報を提供させるものです。多くの場合、ギフト カードや割引などの特典でターゲットをおびき寄せます。
- ポップアップ フィッシング:AppleやAndroidなどのスマートフォンをターゲットとした一般的な攻撃です。悪意のあるリンクを含む特典や警告メッセージをポップアップ表示してターゲットを欺き、個人情報を盗みます。
- スピア フィッシング:多くのフィッシング詐欺と異なり、無作為に選んだターゲットではなく、すでにある程度の情報を入手している特定の個人に攻撃を仕掛けます。詳細な情報を利用することで成功率を大幅に高められる攻撃です。
- ホエーリング攻撃:経営層などの重要な役職に就くユーザーにフィッシングを行い、標的とする環境への特権アクセスに関する情報を入手します。
- クローン フィッシング:金融機関やAmazonのように広く認知されている企業など、ターゲットが信頼する送信者を装ってメールを送ります。スピア フィッシングやビジネス メール詐欺(BEC)攻撃の一般的な戦術と密接に関連しています。
- 悪魔の双子のフィッシング:信頼性が高く見えるWi-Fiホットスポットでターゲットをおびき寄せ、そのWi-Fiを通じて送信されるデータを傍受する中間者攻撃です。
- ファーミング:ドメイン ネーム システム(DNS)サーバーの機能を乗っ取ります。ユーザーは、無害なURLを入力しても悪意のある偽のWebサイトにリダイレクトされます。
フィッシング攻撃の危険性
フィッシング攻撃は非常に危険で、深刻な被害をもたらす恐れがあります。大規模なフィッシング キャンペーンでは数百万人に影響が及ぶこともあり、機密データを抜き取られたり、ランサムウェアなどのマルウェアを配信されたり、企業システムの特に機密性の高い領域にアクセスされたりする場合があります。
組織レベルでフィッシング攻撃が成功してしまうと、財務情報などの機密データの流出や信用の失墜、そして規制上の問題の発生など、その影響はさまざまな方面に拡大していきます。
フィッシング攻撃がビジネスに与えるダメージ
組織レベルでフィッシング攻撃の実被害を受けた場合、その影響は甚大なものとなります。企業の銀行口座が侵害されれば、経済的な損失が起こるかもしれません。フィッシングを足掛かりとしてランサムウェア攻撃を受ければ、情報漏洩も起こり得ます。公表しなければならないような機密データの侵害が発生すれば、組織の評判に大きな傷が付く恐れもあります。
さらに、こうした被害がいっそう深刻な問題に発展していくケースもあります。サイバー犯罪者は、盗んだデータを悪質な競合他社やダークWebに販売する可能性があります。多くの場合、侵害を受けると業界や政府の規制機関にその事実を開示する必要があり、場合によっては罰金などの制裁が課せられることもあります。また、サイバー犯罪の捜査に対応しなければならないこともあるため、膨大な時間が必要になったり、悪い意味で世間の注目を集めてしまったりする可能性があります。
フィッシング攻撃から組織を保護する方法
適切な予防策を講じることで、大半のフィッシングは阻止できます。具体的な対策として、以下が挙げられます。
- 効果的なサイバーセキュリティ対策を実践する。最新のウイルス対策ソリューションやフィッシング対策ソリューションを効果的なスパム フィルターとあわせて利用することで、フィッシング攻撃の大部分を排除できます。
- OSとブラウザーを常に最新の状態に維持する。ソフトウェア プロバイダーは新たに見つかった自社製品の脆弱性に定期的に対応していますが、このアップデートを適用しなければシステムにセキュリティの穴が残ることになります。
- 自動バックアップでデータを保護する。システム データの定期的なバックアップ プロセスを実装すれば、侵害が発生した場合でも復旧できます。
- 高度な多要素認証(MFA)を使用する。MFAなどのゼロトラスト戦略を導入することで、攻撃者と内部システムの間の防御レイヤーを拡充できます。
- ユーザー教育を徹底する。サイバー犯罪者は常に新しい戦略を生み出しているため、メールのセキュリティ機能ですべてのフィッシングを検出することはほぼ不可能です。疑わしいメールを判別する方法やフィッシング メールを報告する方法をすべてのユーザーが理解していれば、ユーザーや組織全体の安全性を高められます。
フィッシングを見抜くためのポイント
フィッシングに関しては、だまされない方法を熟知しているユーザーが最も安全といえます。簡単にまとめた情報を読んだだけでは、セキュリティ意識向上のための集中トレーニングほどの効果は期待できないものの、フィッシングを見抜くためのポイントを把握しておくことは非常に重要です。ここでは、フィッシングの兆候を示す重要なサインをいくつか紹介します。
- ドメイン名の不一致:メール アドレスやWebドメインに不一致があるケースがあります。例えば、メールの差出人が有名企業の名前になっていても、アドレスがその企業のものと一致していない場合があります。
- 誤字脱字:フィッシング攻撃の成功率は大幅に高まっているものの、いまだに多くのフィッシング メッセージに誤字脱字や文法的な誤りが含まれています。
- 見慣れない挨拶:書き出しの挨拶や文章の締めのスタイルが異状のサインになることもあります。普段は「いつもお世話になっております」で始まるメールを書く人が、突然「こんにちは!」などと書いてきたら特に要注意です。
- 簡潔すぎる文面:フィッシング メールはあえて情報量を少なくしていることが多く、その曖昧さによってターゲットの判断を狂わせることを狙っています。あまりにも情報が欠落している場合は、フィッシングのサインかもしれません。
- 不自然な依頼:普段とは異なったことを、それも説明なく依頼してくるメールは、特に要注意です。例えば、IT部門をかたって理由の説明もなくファイルのダウンロードを指示するようなケースがこれに該当します。
フィッシングとAI
攻撃者はAIツールを悪用することで、より巧妙かつ効果的なフィッシング キャンペーンを生み出しています。AIは攻撃プロセスのさまざまな側面を自動化およびパーソナライズするため、フィッシングの検出がますます困難になっています。例えば、チャットボットは、信憑性が高く誤りのないフィッシング メールを作成する手法として広く使用されています。さらに、信頼性の高い組織や人物になりすましてターゲットを欺くために、ディープフェイクや音声クローニングなどの高度なAIサービスが使われるケースも増えています。攻撃者はメール、電話、ビデオ通話、SMS、暗号化されたメッセージ アプリケーションなど、さまざまなコミュニケーション チャネルを悪用しています。
生成AIはフィッシングの脅威を急速に進化させ、攻撃チェーンのさまざまな段階で自動化と効率化を可能にします。脅威アクターは生成AIを利用して、組織や経営層に関する情報などの公開されているデータを迅速に分析することで、偵察に要する時間を短縮すると同時に、より確実に標的型攻撃を仕掛けます。また、スペル ミスや文法上の誤りを排除して、フィッシングに使用するメッセージの信頼性を高めたり、高度なフィッシング ページを迅速に作成したり、さらには生成AIの機能を拡張させて二次攻撃に用いるマルウェアやランサムウェアを生成したりもしています。生成AIツールや戦術の急速な進化に伴い、フィッシング攻撃は日ごとに動的(かつ検出が困難)なものになっていくと考えられます。
ChatGPTやDriftなどの生成AIツールの普及は、フィッシングのアクティビティーそのものだけでなく、AIを悪用した攻撃件数の増加にも影響を与え始めています。2024年版 AIセキュリティ レポートでのThreatLabzの調査結果からは、米国やインドなどの国でこうしたツールが広く利用されていることがわかっています。また、これらの国はフィッシング詐欺の標的としても上位となっており、過去1年間で最も多くの暗号化された攻撃(フィッシング攻撃を含む)を受けていることが明らかとなりました。
Zscalerによるフィッシング対策
フィッシング攻撃は人間の本能につけ込むことで成功を狙うため、ユーザーの侵害は対処が最も難しいセキュリティ課題の一つです。進行中の侵害を検出し、その侵害が引き起こしかねない損害を最小限に抑えるには、より広範なゼロトラスト戦略の一環として、効果的なフィッシング対策を実装する必要があります。
Zscaler Zero Trust Exchange™プラットフォームは包括的なゼロトラスト アーキテクチャー上に構築されており、攻撃対象領域を最小限に抑え、不正侵入を防ぎ、ラテラル ムーブメントを排除し、データ損失を阻止します。そして、以下の方法でフィッシングを防止します。
- 攻撃の防止:フルTLS/SSLインスペクション、ブラウザー分離、ポリシーに基づくアクセス制御などの機能により、悪意のあるWebサイトからのアクセスを防止します。
- ラテラル ムーブメントの防止:一旦システムに侵入したマルウェアは、拡散して被害を拡大させる恐れがあります。Zero Trust Exchangeはユーザーをネットワークではなくアプリに直接接続させることで、アプリからマルウェアが拡散するのを阻止します。
- 内部脅威の阻止:Zscalerのクラウド プロキシ アーキテクチャーはフル インライン インスペクションを活用して、プライベート アプリを悪用する試みを阻止すると同時に、最も高度な手法を使った攻撃も検出します。
- データ損失の防止:Zero Trust Exchangeは転送中データおよび保存データを検査し、活動中の攻撃者によるデータ窃取を阻止します。
