フィッシング攻撃の見分け方と予防策
2023 年 7 月 26 日 Marc Laliberte 著
フィッシング攻撃は、最も一般的なオンライン詐欺のひとつです。決して目新しいものではありませんが、その手口は常に進化しています。今日、ハッカーは自動化やその他の高度なテクニックを駆使してフィッシング攻撃の規模を拡大し、ユーザをよりピンポイントで狙ってきています。
どのような方法であれ、フィッシング攻撃の目的は、個人を騙して偽の Web サイトを訪問させた上で、ユーザのログイン認証情報などの個人情報を取得し、送金させたり、マルウェア配信の媒介にすることです。フィッシングによって盗まれた情報は、時にダークウェブで販売されたり、攻撃者によるネットワークリソースへのアクセスや詐欺、個人情報の不正取得に利用されたりします。フィッシング攻撃者は、正当な個人や組織になりすますことが一般的です。
またその攻撃手法も、ユーザごとにさらにカスタマイズされたものになってきています。標準的なフィッシングメールが正当な組織や個人を装って詐欺メールを大量に送信するのに対し、スピア(標的型)フィッシング攻撃では、特定の個人や組織向けにカスタマイズされた詳細な内容を送信する傾向があるため、検出が従来よりも難しくなっています。自動化されたフィッシングツールの利用や、SNS などユーザが個人情報を投稿する Web 上の場所をスキャンするプログラムにより、攻撃者がスピアフィッシングの標的を特定するために行う情報収集方法は絶えず改善されています。この種の攻撃は、従来の方法よりも労力を必要とする一方で、成功率が高い傾向にあります。
残念ながらインターネットを利用している以上、フィッシングの標的になる可能性からは免れません。だからこそ、ユーザ一人ひとりがフィッシングを阻止するために自身の役割を果たすことがとても重要です。
フィッシング攻撃を見抜くための指標
フィッシング攻撃はその効果の高さから、広く行われるサイバー犯罪の一形態です。犯罪者は、電子メール、テキストメッセージ、SNS 上のダイレクトメッセージ、ビデオゲームなどを利用して、個人情報をユーザ自ら提供させることに成功しています。最善の予防策は、どのような点に特に注意すべきかをあらかじめ知っておくことです。ほとんどのフィッシングメールやメッセージは、緊急性を強調してきます。すぐに行動を起こすよう求めてくる連絡にはくれぐれも注意しましょう。慎重にアクションを行っても損はないため、メッセージが正当なものかどうか確信が持てない場合は、落ち着いてサポートを求めましょう。
フィッシングメールを見分ける方法を以下にいくつかご紹介します。
- 不審な指示: 上司や同僚からの、通常とは異なる指示には注意してください。
- 不自然な誤字脱字や、文法間違い:これは特に、メールやテキストが偽の送信元からのものであることを示す指標となります。
- 送信者のメールアドレス(または電話番号)を確認する: 正当な送信元からのメッセージであることを確認してください。また、利用しているドメインが適切な保護(DNS フィルタリングなど)を受けていない場合、攻撃者はメールアドレスのなりすましが可能であることに留意してください。
- 不明なページへのリンクをクリックしない: 一般論として、メール文中のリンクをクリックすることは避けましょう。万一クリックする際にも、必ずドメインを確認し、訪問しようとしているサイトとドメインが一致していることを確認してください(Web サイトのアドレスは、常に手動で入力する方が安全です)。
- 添付ファイルを開かない:未知の送信者からのファイルは絶対にダウンロードすべきではありません。
フィッシング詐欺を予防するための 8 つの注意点
- リンクをクリックしたり、添付ファイルを開いたりしない:
上記のように、フィッシング攻撃を見分ける主な方法のひとつです。 メールやメッセージが詐欺だと感じた場合、リンクや添付ファイルは開かないでください。代わりに、マウスをリンクの上に置き(クリックはしない)、アドレスがメッセージに入力されたリンク先と一致するかどうかを確認します。 - ネットワークと電子メールのセキュリティを利用する:
悪意のある送信者からの電子メールをフィルタリングする電子メール向けセキュリティツールを導入してください。優れたフィルタは、受信した電子メールが疑わしいかどうかを評価し、そのメッセージをスパムフォルダに入れたり、完全にブロックしたりします。一方で、メールフィルターだけでは不十分な可能性もあります。外部からの侵入者に対する防御をより堅実にするには、デスクトップとネットワークの両方のファイアウォールを使用する必要があります。ファイアウォールは、あらかじめ定義されたセキュリティポリシーに基づいてネットワークトラフィックの送受信を監視・フィルタリングし、DNS フィルタリングのようなセキュリティサービスを適用して、既知の悪意のある宛先への接続をブロックすることが可能です。 - ブラウザを最新に保つ:
ブラウザは常にアップデートしましょう。定期的なアップデートは必要不可欠であり、フィッシングに対する防御力を高めます。ソフトウェアを常に最新の状態に保つことで、最新のサイバー攻撃やフィッシング攻撃手法にも対応することができます。アップデートでは、セキュリティホールを修正したり、古いバージョンのソフトウェアの脆弱性を修正したりすることがよくあります。ブラウザはフィッシング攻撃に対する防御の第一線であるため、常に最新に保つことを心がけましょう。 - パスワードのセキュリティ管理:
何を行うにしても、メール、テキスト、電話により獲得するパスワード、PIN、2FA コードなどを決して第三者に渡さないでください。企業がこの種の機密情報を尋ねることは決してありません。 オンラインアカウントを持っている場合は、定期的にパスワード漏えいのリストに照らし合わせてパスワードを見直す必要があります。安全なパスワードマネージャを使えば、常にアクセス可能、かつ安全な場所にログイン認証情報を保存し、侵害を受けたパスワードを自動的にチェックすることができます。こうすることで、すべてのアカウントにおいて、強力なパスワードを個別に覚えることなく使用可能です。 - 個人情報の公開には十分な注意を:
一般的なマナーとして、誰もがあなたの個人情報を見ることができる公共のWeb サイト上では、決して個人情報を公開しないようにしましょう。多くの人は、このデータがスピアフィッシング攻撃で拾われ、利用される可能性があることを知らずに、自発的に機密情報を公開しています。Web サイトのURLが「https」で始まっていなかったり、URL の横に閉じた南京錠のアイコンが見あたらない場合は、そのサイトで機密情報を入力したり、ファイルをダウンロードしたりしないでください。セキュリティ証明書がないサイトは、フィッシング詐欺を目的としている可能性があります。 - ポップアップに注意:
ハッカーが悪意のあるポップアップをデザインするときに使うトリックのひとつに、ポップアップの一部にキャンセルボタンを設けるというものがあります。ポップアップの中にあるキャンセルボタンは、フィッシングサイトにリダイレクトされる可能性が高いので、絶対にクリックしないでください。ポップアップを閉じるときは、必ずポップアップの四隅にある「X」マークをクリックしてください。 ありがたいことに最近の Web ブラウザは、ほとんどの種類の悪質なポップアップをブロックする機能を備えています。 - すべてのユーザに 2 要素認証(2FA)または多要素認証(MFA)を導入する:
どのような 2 要素認証方法でも、ある程度まではフィッシングを防ぐことができます。しかし、フィッシングに強い多要素認証の中でも、特にフィッシングに効果的なものがあることを覚えておいてください。 - 不審なメールは、IT 部門またはセキュリティ部門に転送し、精査してもらう:
フィッシングやなりすましを報告したり、被害に遭ったことを報告したりするには、インターネット犯罪苦情センター(IC3)にアクセスして苦情を申し立てることも可能です。情報の保護に関する詳細は、Stop Ransomware(外部サイト、英語)をご覧ください。
フィッシングを阻止するには、何より警戒することから始まります。行動する前に判断をしましょう。軽率なクリックひとつで、あなたの個人情報や会社の重要なデータが危険にさらされる可能性があります。
ウォッチガードが提供するフィッシング攻撃からの保護方法
MSP や MSSP は、ウォッチガードと提携することで、フィッシングからの保護を自動化し、ハードウェアを導入し、エンドユーザにリアルタイムでトレーニングを提供するソフトウェアソリューションを導入することで、クライアントの保護を強化することができます。
ウォッチガードの Firebox デバイスとエンドポイントソリューションは、DNS レベルの保護とコンテンツフィルタリングを提供します。また、ユーザが悪意のあるリンクをクリックした場合、フィッシング攻撃や予防のためのベストプラクティスに関する教育を提供するリソースに即座にリダイレクトすることができます。
さらにウォッチガードの Unified Security Platform® では、ブロックされた各攻撃の正確な分析を提供し、IT 管理者や MSP に配信することで、コンテキストと内部対策を提供することが可能です。