フィッシング

フィッシング詐欺は、個人や企業に重大なセキュリティー・リスクと財務上のリスクをもたらします。 しかし、これらのリスクは、ユーザーを教育し、ベスト・プラクティスを採用し、最新の脅威検出およびインシデント対応テクノロジーを導入することで軽減できます。

オフィスで働く人々の航空写真
フィッシングとは

フィッシングは、信頼できる組織または個人になりすましたサイバー犯罪者がメッセージを送信して、受信者をだます、または受信者を操作することで、機密データを漏えいさせたり、マルウェアをダウンロードしたり、お金や資産を間違った人に転送したりするサイバー攻撃です。 フィッシング攻撃が成功すると、個人情報の盗難、クレジット・カード詐欺、ランサムウェア攻撃、データ侵害、個人や企業にとって巨額の金銭的損失につながる可能性があります。

フィッシングは最も一般的なタイプのソーシャル・エンジニアリングであり、人々をだまし、圧力をかけ、または操作して、社会保障番号、クレジット・カード番号、銀行口座番号、ログイン資格情報などの個人情報や機密情報を漏えいさせます。 フィッシングやその他のソーシャル・エンジニアリング戦術は、人的エラー(特にプレッシャー下での人的エラー)に依存することで、成功します。 組織のコンピューター・ネットワークをハッキングするよりも、人を騙す方が簡単で費用もかからないため、ハッカーはこうした戦術を使用します。

FBIによると、フィッシング・メールは、ハッカーがランサムウェアを個人や組織に送信するために使用する、最も一般的な攻撃方法またはベクトルです。 そしてIBMの2021年データ漏えい時に発生するコストに関する調査によると、フィッシングはデータ漏えいの原因としては、4番目に一般的で、2番目に高額のコストがかかるもので、企業は1回のデータ漏えいにつき平均465万米ドルの損失を被っています。


フィッシング攻撃のタイプ

バルク・フィッシング・メール

 バルク・メール・フィッシングは、フィッシング攻撃の中で最も一般的なタイプです。 詐欺師は、大手の有名な正規の企業または組織(国内または世界の銀行、大手オンライン小売業者、人気のあるソフトウェア・アプリケーションまたはアプリのメーカー)から送信されたように見える電子メール・メッセージを作成し、そのメッセージを数百万人の受信者に送信します。 バルク・メールフィッシングはナンバーズゲームです。偽装された送信者が大手であるほど、または人気が高いほど、顧客、登録者、またはメンバーとなる受信者数が多くなります。

フィッシング・メールは、偽装された送信者が確実に対処する可能性のあるトピックに関連したもので、受信者の注意を引くための強い感情(恐怖、貪欲、好奇心、切迫感、時間的プレッシャー)に訴えます。 一般的な件名には、「ユーザー・プロファイルを更新してください」、「お客様の注文に問題が発生しました」、「決算書類に署名する準備ができています」、「請求書が添付されています」などがあります。 

電子メールの本文は、完全に合理的でトピックと一致しているように見えるアクションを実行するように受信者に指示しますが、受信者は機密情報(社会保障番号、銀行口座番号、クレジットカード番号、ログイン資格情報)を漏えいさせたり、受信者のデバイスまたはネットワークに感染するファイルをダウンロードすることになります。 たとえば、受信者は「このリンクをクリックしてプロファイルを更新する」ように指示される場合がありますが、リンクによって偽のWebサイトに移動させられ、表面上はプロファイルを更新しながら、受信者の実際のログイン資格情報を入力させられることになります。 または、正当と思われる添付ファイル(たとえば、「invoice20.xlsx」)を開くように指示される場合がありますが、マルウェアまたは悪意のあるコードが受信者のデバイスまたはネットワークに送信されてしまいます。

スピア・フィッシング

スピア・フィッシングは、特定の個人(通常、機密データまたはネットワーク・リソースへのアクセス権限を持つ個人、または詐欺師が詐欺目的または不正な目的で悪用できる特別な権限を持つ個人)を標的とするフィッシング攻撃です。

スピア・フィッシングを行う詐欺師は、ターゲットを調査して、ターゲットが実際に信頼している個人またはエンティティー(友人、上司、同僚、仲間、信頼できるベンダー、または金融機関)を装う、またはターゲット個人を装うために必要な情報を収集します。 ソーシャル・メディアやソーシャル・ネットワーキング・サイト(人々が同僚を公に祝福し、同僚やベンダーを支持し、会議やイベント、旅行計画について過剰に共有する傾向がある)は、スピア・フィッシング研究のための豊富な情報源になっています。 

この情報を武器に、スピア・フィッシングの詐欺師は特定の個人情報や財務情報を含むメッセージと信頼できるリクエストをターゲットに送信できます。「あなたが休暇で不在になるのを知っています。今日の営業終了までにこの請求書の支払いをお願いできますか(またはXXX.XXドルをこの口座に振り込んで頂けますか)?」というようなリクエスト・メッセージです。

ビジネス・メール詐欺(BEC)

一部のスピア・フィッシング・メールは、大規模な攻撃に備えて、さらに多くの情報を収集しようとします。 たとえば、スピア・フィッシング・メッセージは、短時間の停止中に失われた電子メール・アカウントの資格情報を更新するようにCEOに要求する場合がありますが、代わりにその資格情報を盗むように設計された悪意のある偽のWebサイトへのリンクを提供します。 これらの資格情報が手元にあれば、攻撃者はCEOのメールボックスに完全にアクセスできます。攻撃者はCEOの電子メール・メッセージを調べてさらに詳しい情報を入手し、CEOの実際の電子メール・アドレスを使用して、説得力のある不正なメッセージをCEOの電子メール・アカウントから直接送信できます。 

これは、ビジネス・メール詐欺(BEC)の例です。これは、会社の従業員をだまして非常に高額の金銭や貴重な資産を攻撃者に送るように設計された、特に危険なタイプのスピア・フィッシング攻撃です。 BECメールは、ビジネスの最高ランク・メンバーのメール・アカウントから、または弁護士、主要なビジネス・パートナー、大手ベンダーなどの高レベルのビジネス・アソシエイトから送信されているか、送信されているように見え、確実に信頼してしまうほどに十分な詳細情報を含んでいます。

BEC攻撃を成功させるために必要な情報を入手するための戦術は、スピア・フィッシングだけではありません。 ハッカーは、マルウェアを配備したり、システムの脆弱性を悪用して、電子メール・アカウント・データにアクセスすることもできます。 または、アカウント・データにアクセスできない場合、ハッカーは送信者のアドレスをスプーフィングしようとする可能性があります。送信者の実際のアドレスに非常に類似した電子メール・アドレスを使用して、受信者が違いに気付かないようにします。 

戦術に関係なく、BEC攻撃は成功すると、最も被害コストがかかるサイバー攻撃の1つです。 BECの最も有名な例の1つでは、CEOになりすましたハッカーが、会社の財務部門に対して、5,000万ユーロ近くのお金を不正な銀行口座に送金するように仕向けました。


その他のフィッシング手法と戦術

SMSフィッシングまたはスミッシングは、モバイルやスマートフォンのテキスト・メッセージを使用してフィッシングを行います。 最も効果的なスミッシング方式は状況に応じたものです。それは、スマートフォンのアカウント管理やアプリに関連したものです。 たとえば、受信者は、ワイヤレス請求書を支払ったことに対する「感謝」としてギフトを提供されるというテキスト・メッセージを受信したり、ストリーミング・メディア・サービスを継続して使用するためにクレジット・カード情報を更新するように求められたりする場合があります。 

ボイス・フィッシング、またはビッシングは、電話でフィッシングを行います。 ボイス・オーバーIP(VoIP)テクノロジーのおかげで、詐欺師は1日に何百万もの自動ビッシング電話をかけることができます。多くの場合、発信者IDのなりすましを使用して、正規の組織または地域の電話番号から発信されたように見せかけます。 ビッシング・コールは通常、クレジット・カード処理の問題、支払いの滞納、またはIRSの問題の警告で、受信者を怖がらせます。 電話をかけ直した人は、詐欺師のために働いている人々に機密データを提供することになります。中には、電話の相手である詐欺師に自分のコンピューターのリモート制御を許可してしまうことになる場合さえあります。

ソーシャル・メディア・フィッシング は、ソーシャル・メディア・プラットフォームのさまざまな機能を使用して、メンバーの機密情報をフィッシングします。 詐欺師は、通常の電子メールやテキスト・メッセージを使用するのとほぼ同じ方法で、プラットフォーム独自のメッセージ機能(Facebook Messenger、LinkedInメッセージ、またはInMail、TwitterのDMなど)を使用します。 また、ソーシャル・ネットワーク・サイトから送信されたように見えるフィッシング・メールをユーザーに送信し、受信者にログイン資格情報または支払い情報を更新するように要求します。 これらの攻撃は、複数のソーシャル・メディア・サイトで同じログイン資格情報を使用する被害者にとっては特に被害コストがかかってしまう可能性があり、これは、あまりにもありふれた「ワースト・プラクティス」です。

アプリケーションまたはアプリ内メッセージング。 人気のスマートフォン・アプリとWebベース(サービスとしてのソフトウェア、またはSaaS)アプリケーションは、ユーザーに定期的にメールを送信します。 その結果、ユーザーは、アプリまたはソフトウェア・ベンダーからの電子メールを偽装するフィッシング・キャンペーンに遭うことにことにつながります。 再びナンバーズゲームを行うと、詐欺師は通常、最も人気のあるアプリやWebアプリケーション(PayPal、Microsoft Office 365、Teamsなど)からの電子メールをスプーフィングして、フィッシング詐欺から最大の成果を得ます。 


フィッシング詐欺からの保護

ユーザー・トレーニングとベスト・プラクティス

組織は、フィッシング詐欺を認識する方法をユーザーに教え、疑わしい電子メールやテキスト・メッセージを処理するためのベスト・プラクティスを開発することが推奨されます。 たとえば、ユーザーに、フィッシング・メールの特徴やその他の特徴的な機能を認識するよう教育することができます。

-機密情報または個人情報の要求、あるいはプロファイルまたは支払い情報の更新の要求
-送金または振込のリクエスト
-受信者が要求または予期していなかった添付ファイル
-露骨かどうかにかかわらず、切迫感(「あなたのアカウントは本日閉鎖されます...」)を煽るもの または、懲役やその他の非現実的な結果についての微妙な(たとえば、同僚からの請求書の即時支払いの要求などの)脅威
-懲役または他の非現実的な結果にまつわる脅威
-誤ったつづりや文法
-一貫性のない、または、なりすましの送信者アドレス
-ビットを使用して短縮されたリンク。Lyまたはその他のリンク短縮サービス
-テキストの代わりに使用されるテキストの画像(メッセージ内、またはメッセージ内にリンクされているWebページ上)

このリストはフィッシング・メールの特徴の一部に過ぎません。残念ながら、ハッカーは検出されるのを回避するために常に新しいフィッシング手法を考案しています。 フィッシング対策ワーキング・グループの四半期ごとのPhishing Trends Activity Report (ibm.com外部へのリンク )などの出版物はは、組織がペースを維持するのに役立ちます。 

組織は、従業員にフィッシング詐欺を何としても見つけ出すようにと圧力をなるべくかけないで済むベストプラクティスを奨励または実施することもできます。 たとえば、組織は明確なポリシーを確立して伝達することができます。たとえば、「上司や同僚が資金移動の要求を電子メールで送信することはありません」などです。 メッセージに記載されている以外の手段を使用して、送信者に連絡するか、送信者の正規のサイトに直接アクセスすることにより、従業員に個人情報または機密情報の要求を確認するように要求できます。 また、従業員に対して、フィッシングを試みていると思われるものや、疑わしい電子メールをITグループまたはセキュリティー・グループに報告するように要求することもできます。

フィッシングと戦うセキュリティー・テクノロジー

最良のユーザー・トレーニングと厳格なベスト・プラクティスにもかかわらず、ユーザーは依然として間違いを犯します。 幸いなことに、さまざまな確立された新しいエンドポイントとネットワーク・セキュリティー・テクノロジーは、セキュリティー・チームが、トレーニングとポリシーを欠いた中で発生するフィッシングに対抗するのに役立ちます。

-スパム・フィルターは、既存のフィッシング詐欺と機械学習アルゴリズムのデータを組み合わせて、疑わしいフィッシング・メール(およびその他のスパム)を特定し、それらを別のフォルダに移動して、そこに含まれているリンクを無効にします。
-ウイルス対策およびマルウェア対策ソフトウェアは、フィッシング・メール内の悪意のあるファイルまたはコードを検出して無効にします。
-多要素認証は、ユーザー名とパスワードに加えて、少なくとも1つのログイン資格情報が必要です。たとえば、ユーザーの携帯電話に送信される1回限りのコードです。 多要素認証は、フィッシング詐欺やパスワードを侵害する可能性のあるその他の攻撃に対する最後の防衛線を追加することで、スピア・フィッシング攻撃を弱体化させ、BECを防ぐことができます。 
-Webフィルターは、ユーザーが既知の悪意のあるWebサイト(「ブラックリストに登録された」サイト)にアクセスするのを防ぎ、ユーザーが悪意のあるWebサイトまたは偽のWebサイトにアクセスするたびにアラートを表示します。

一元化されたサイバーセキュリティー・プラットフォーム-例:セキュリティ情報とイベント管理(SIEM)、エンドポイント検出と応答(EDR)、ネットワーク検出と応答(NDR)、拡張検出と応答(XDR)-これらのテクノロジーとその他のテクノロジーを継続的に更新される脅威インテリジェンスと自動インシデント対応機能と組み合わせることで、組織がフィッシング詐欺がユーザーのところに到達する前に防止するのに役立ち、エンドポイントまたはネットワークの防御を通過するフィッシング攻撃の影響を制限します。


関連ソリューション

IBM Security QRadar XDR Connect

オープン・スタンダードと自動化で構築された業界初の包括的な拡張検出および応答(XDR)ソリューションです。 XDR Connectは、エンドポイント、ネットワーク、クラウド、およびアプリケーション全体にわたり深い可視性、自動化、およびコンテキストの洞察を提供します。


IBMインシデント対応

IBMインシデント対応ソリューションは、セキュリティー・チームが、インテリジェントなオーケストレーション、フル・レンジのサービス、およびIBM Security X-Forceのツール、専門知識、人材を使用して、フィッシングやその他の脅威を事前に管理し対応するのに役立ちます。


フィッシング攻撃ソリューション

組織のセキュリティーを危険にさらすフィッシング攻撃から従業員を保護します。


ランサムウェアからの保護のソリューション

IBM Securityソリューションで、組織の機密データを人質にとる可能性があるランサムウェアの脅威から保護します。


ゼロトラスト・セキュリティー・ソリューション

IBMのゼロトラスト・セキュリティー・ソリューションを使用して、すべてのユーザー、すべてのデバイス、すべての接続を、常にセキュリティーで保護します。


データ・セキュリティー・ソリューションと保護ソリューション

データ・セキュリティー・ソリューションを使用して、複数の環境にわたって企業データを保護し、プライバシー規制に対処し、運用の複雑さを簡素化します。


IBM Security Trusteer Rapport

IBM Trusteer Rapportは、金融機関が小売店や企業の顧客を保護することにより、マルウェア感染やフィッシング攻撃を検出して防止するのに役立ちます。


インシデント対応ソリューション

インテリジェントなオーケストレーションは、反復可能なプロセスを定義し、熟練したアナリストに力を与え、統合されたテクノロジーを活用することにより、インシデント対応を強化します。


インサイダー脅威セキュリティー・ソリューション

お使いのネットワークにアクセス可能な内部関係者からの悪意のある、または意図しない脅威から、組織を保護する方法について説明します。


参考情報