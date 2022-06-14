フィッシング

フィッシング攻撃とは、受信者を操作して、機密情報を共有させたり、悪意のあるソフトウェアをダウンロードさせたり、間違った相手に金銭や資産を送付させたり、その他の有害な行動を取らせようとするデジタル・メッセージやボイス・メッセージのことです。詐欺師は、フィッシング・メッセージを、信頼できる組織や個人、場合によっては受信者が個人的に知っている人から送信されたかのように見せかけます。

フィッシング詐欺にはさまざまな種類があります。

「IBM Security X-Force Threat Intelligence Index 2023」によると、フィッシングは主要なマルウェア感染経路であり、すべてのインシデントの41%で特定されています。また、「2022年度データ侵害コスト・レポート」によると、フィッシングは最もコストの大きなデータ侵害 につながる最初の攻撃ベクトルです。

ベイティング

ベイティングとは、価値のあるオファーや貴重な物品で被害者を誘惑することにより、故意または無意識に機密情報を提供させたり、悪意のあるコードをダウンロードするように被害者を誘導することです。

ナイジェリア王子詐欺は、おそらくこのソーシャル・エンジニアリング手法の最もよく知られた例です。最近では、「無料」という言葉で被害者を誘い、マルウェアに感染したゲーム、音楽、またはソフトウェアのダウンロードさせることが挙げられます。しかし、ベイティングには、極めて原始的な形で行われるものもあります。例えば一部の脅威アクターのように、マルウェアに感染させたUSBドライブを公共の場所に放置し、拾った人に「USBメモリーを拾えてラッキー」と思わせて、それを使うように誘います。

テールゲーティング

テールゲーティング（別名「ピギーバッキング」）とは、許可されていない人が許可された人の後を追って、機密情報や貴重な資産が含まれるエリアに侵入することです。テールゲーティングでは、攻撃者が鍵のかかっていないドアを通って従業員を追跡するなど、物理的に行うことができます。また、個人のアカウントやネットワークにログインしたままのコンピューターから目を離すなど、デジタル戦術である場合もあります。

プリテキスティング

プリテキスティングでは、脅威アクターは被害者に対して偽の状況を作り出し、それを解決する適切な人物を装います。詐欺師はしばしば（そして最も皮肉なことに）、被害者がセキュリティー侵害の影響を受けていると主張し、被害者が重要なアカウント情報を提供したり、被害者のコンピューターやデバイスをコントロールさせくれるのであれば、事態を解決すると申し出ます。厳密に言えば、ほぼすべてのソーシャル・エンジニアリング攻撃には、ある程度のプリテキスティングが含まれています。

クイド・プロ・クオ

クイド・プロ・クオでは、ハッカーは被害者の機密情報と引き換えに価値のある商品やサービスをちらつかせます。偽のコンテストの賞金や、一見無害なロイヤルティ報酬（例えば、「お支払いありがとうございます。プレゼントを用意しています」）は、クイド・プロ・クオの策略の一例です。

スケアウェア

スケアウェアはマルウェアの一種とも考えられており、恐怖を利用して人々を誘導し、機密情報を共有させたり、マルウェアをダウンロードさせたりするソフトウェアのことです。スケアウェアは、ユーザーの犯罪を告発する偽の法執行通知や、ユーザーのデバイス上のマルウェアを警告する偽のテクニカル・サポート・メッセージの形式をとることがよくあります。

水飲み場型攻撃

ターゲットが頻繁にアクセスする正規のWebページに、ハッカーが悪意のあるコードを挿入するこの攻撃は、「誰かが水飲み場に毒を入れた」というフレーズが語源なっています。水飲み場型攻撃は、認証情報の盗難から意図せぬドライブバイ・ランサムウェアのダウンロードまで、あらゆる被害を引き起こします。