フィッシング攻撃の概要

フィッシング攻撃とは、価値ある情報をユーザから詐取することを目的としたサイバー犯罪のことです。詐取の対象としては、クレジットカード番号、個人情報、企業データなどがあります。サイバー犯罪者の 行為は手動の場合もあれば、自動化ツールを使用して実行される場合もあります。または、スクリプトツールを使用して最初の攻撃を実行し、その後成功した対象に対してサイバー犯罪者が手動で攻撃を実行するような組み合わせの場合もあります。

フィッシング攻撃はメールが登場したときから存在します。「フィッシング」という用語が最初に使用されたのは、AOL上の無防備なユーザがクレジットカード番号をだまし取られた1994年にさかのぼります。1995年までにはAOHellと呼ばれるプログラムが作成され、この試みは継続されました。 フィッシング攻撃は、現在においてもセキュリティ上の大きな脅威となっています。

1995年以降、サイバー犯罪者達は無防備な人々から情報を盗むための新しい方法を発明し続けています。その結果、多くのプログラムや悪意のあるソフトウェアが作成されています。これらのツールの一部は、ペネトレーションテストを行う善良な人々によって作成されたものです。しかしながら、善良な目的で作成されたツールであっても、それを悪用する方法を考える人間はいるものです。

例えば、Phishing Frenzyというツールは元々、侵入テストを目的として善良な人達によって作成されたメールフィッシングツールです。しかしながら、このような簡単に使用できるツールが出回ると、サイバー犯罪者達によって悪用されてしまう可能性もあります。

他にも、偽のログインページを作成してInstagramアカウントをハッキングすることを目的としたSwetabhsuman8というフィッシングツールがあります。ユーザがログインしようとすると、サイバー犯罪者にユーザIDとパスワードを盗まれてしまいます。ログイン情報を取得したら、実際にログインして、その人の友人達を相手に詐欺行為を行うことができます。

ログイン情報を盗むことを目的として偽のログインページを作成する試みは止む気配がありません。サイバー犯罪者達はコールセンターを作成して電話に応答することさえあります。攻撃者から受け取ったメール、偽のウェブサイト、またはテキストメッセージに記載された電話番号に電話をかけると、攻撃者がその電話に対応します。これは合法的な会社とは異なります。

合法的な会社であれば一般に、さまざまなメニューを選択してから順番待ちになり、担当者と話すことになります。担当者が実際すぐに電話に対応することは好印象を与えますが、これは目的の相手にたどりついたというよりも、サイバー犯罪者にたどりついたことを示す分かりやすい兆候です。

フィッシング攻撃には多くの種類が存在します。多くの人がよく知っているのが、メールフィッシングです。この攻撃は、スピアフィッシングやホエーリングという手法の登場でますます高度になっています。フィッシング攻撃は、メールだけでなく、SNSやソーシャルメディアなど様々なプラットフォームにも広がっています。

フィッシング攻撃には次のようなものがあります。

• メールフィッシング – サイバー犯罪者は、ユーザの不安の煽る、あるいは気を引いたりするメールを送信して、そのメールに含まれるリンクをクリックさせようとします。
• ヴィッシング – サイバー犯罪者は、固定電話、携帯電話、さらにはVoIP電話に電話をかけ、ユーザを会話に引き込もうとします。
• スミッシング – サイバー犯罪者は、SMS（ショートメッセージサービス）でテキストメッセージを送信し、ユーザにリンクをクリックするように促したり、電話をかけさせようとしたりします。
• スピアフィッシング – ターゲットを絞り込んだメールフィッシングです。
• ホエーリング – 企業の経営者や重役をターゲットにしたメールフィッシングです。
   

フィッシング攻撃を行うサイバー犯罪者は時に、ソーシャルメディアを悪用します。一般的なフィッシング攻撃では、偽のWebサイトやログインページを作成し、認証情報を盗み取ります。しかし、そこで終わるわけではありません。特に、ソーシャルメディアサイトのパスワードを盗まれてしまうと、サイバー犯罪者はさらに攻撃を展開し、そのソーシャルメディアの友人を対象に情報を盗み出そうとします。アカウントの持ち主になりすまして友人にリンクを送信し、リンクをクリックさせて、クレジットカード情報を盗み出すための偽のサイトにアクセスさせようとします。現在では、多くの人々がソーシャルメディアで多くの時間を過ごしているため、この攻撃はより簡単に実行することが可能です。

自身を守る方法はたくさんあります。まず何よりも重要なことは、用心することです。

• クリックする前にメールを何度も確認したり、差出人の上にカーソルを置いてメールアドレス全体を確認したり、クリックしようとしているリンクの上にカーソルを置いてアドレスを確認したりします。そうすることで、それが偽のアドレスであることが明らかになる場合があります。
• Webサイトで機密性の高いデータを入力する前に、ページの上部に表示されているURLを何度も確認します。それによって本物のWebサイトであるか、アドレスに余分な文字が含まれていないか、文字が置き換えられていないか確認します。たとえば、Oと0が置き換えられていることがあります。違いを見分けるのは難しいかもしれません。1つはアルファベットのオーであり、もう1つは数字のゼロです。
• 友人の投稿をクリックする前には、慎重に考慮します。あまりにもうまい話であると思われる場合は、偽物である可能性が高いです。
• 友人がトラブルに巻き込まれている、またはお金を必要としているという投稿に反応する前に、慎重に考慮します。その投稿は、サイバー犯罪者が誰かに接触しようとしているものではありませんか？
• ポップアップ・ポップアンダー広告をクリックする前には、慎重に判断する必要があります。
• メールの添付ファイルを開く前に慎重に考慮します。その差出人から添付ファイルが送られてくることは想定されることでしょうか？ 疑わしい場合は、その人に尋ねてください。
• SMSのメッセージに記載されたリンクへアクセスする前に、慎重に考慮してください。その会社は、メッセージに書かれた内容を確認する目的でSMSを利用することは無いかもしれません。
• 信頼できる人とやり取りしていると確信できる場合を除き、個人情報は教えないでください。
   

次にすべきことは、アカウントを保護することです。まずはパスワードです。パスワードの長さは20文字程度またはそれ以上にすべきです。パスワードには必ずしも4種類の文字（英大文字、英小文字、数字、記号）のすべてを含める必要はありませんが、2種類または3種類は含めておくとよいでしょう。パスワードの設定における問題は、設定したパスワードをどうやって覚えておくかです。これは、絶対に忘れない1つのマスターパスワードを作成し、残りのパスワードはパスワード管理ソフトへ保存しておくとよいでしょう。

さらに、可能な限り2要素認証（2FA）を有効にしてください。仮にサイトで提供されている選択肢が「SMSから受け取ったワンタイムパスワードを入力する」ことだけであっても、パスワードだけの認証よりはセキュアになります。しかしながら、米国標準技術研究所（NIST）はSMSを使用したワンタイムパスワードを推奨していません。より優れたソリューションとして、Google Authenticator、Microsoft Authenticator、LastPass Authenticatorなどのツールを使用してワンタイムパスワードを生成する方法があります。アカウントのセキュリティ設定において、これらの選択肢があるかどうか確認してください。

最後に、フィッシング攻撃の被害に遭わないために、手口を知っておくことが重要です。法人組織の場合、従業員に対してフィッシング攻撃のセキュリティ教育を行うことによって、疑わしいリンク、拡張子、ファイルなどをクリックしないようにする習慣が身に付きます。