フィッシング攻撃とは、 人々を操作して、マルウェアのダウンロード、機密情報の共有(たとえば、ソーシャル・セキュリティー番号、クレジット・カード番号、銀行口座番号、ログイン情報)、または被害者自身やその組織をサイバー犯罪行為にさらすその他の行動を取らせようとするように設計された不正な電子メール、テキスト・メッセージ、電話、またはWebサイトです。
フィッシング攻撃が成功すると、個人情報の盗難、クレジットカード詐欺、ランサムウェア攻撃、データ侵害、個人や企業の巨額の金銭的損失につながる可能性が高くなります。
フィッシングは最も一般的な形態のソーシャル・エンジニアリングであり、人々をだまし、圧力をかけ、または操作して、間違った相手へ情報や資産の送信をさせる手法です。 ソーシャル・エンジニアリング攻撃の成功は、人的エラーとプレッシャー戦術に依存しています。 攻撃者は通常、被害者が信頼する個人または組織(たとえば、同僚、上司、被害者または被害者の雇用主がビジネスを行っている会社)になりすまし、被害者を性急に行動させるような切迫感を作り出します。 コンピューターやネットワークをハッキングするよりも、人をだます方が簡単で費用もかからないため、ハッカーはこうした戦術を使用します。
FBIによると、フィッシング・メールは、ハッカーがランサムウェアを個人や組織に送信するために使用する、最も一般的な攻撃方法またはベクトルです。 そしてIBMの2021年、データ漏えい時に発生するコストに関する調査によると、フィッシングはデータ漏えいの原因としては、4番目に一般的で、2番目に高額のコストが発生し、企業は1回のデータ漏えいにつき平均465万米ドルの損失を被っています。
バルク・メール・フィッシングは、フィッシング攻撃の中で最も一般的なタイプです。 詐欺師は、大手の有名な正規の企業または組織(国内または世界の銀行、大手オンライン小売業者、人気のあるソフトウェア・アプリケーションまたはアプリのメーカー)から送信されたように見える電子メール・メッセージを作成し、そのメッセージを数百万人の受信者に送信します。 バルク・メールフィッシングはナンバー・ゲームです。偽装された送信者が大手であるほど、または人気が高いほど、顧客、登録者、またはメンバーとなる受信者数が多くなります。
フィッシング・メールは、偽装された送信者が確実に対処する可能性のあるトピックに関連したもので、受信者の注意を引くための強い感情(恐怖、貪欲、好奇心、切迫感、時間的プレッシャー)に訴えます。 一般的な件名には、「ユーザー・プロファイルを更新してください」、「お客様の注文に問題が発生しました」、「決算書類に署名する準備ができています」、「請求書が添付されています」などがあります。
電子メールの本文は、完全に合理的でトピックと一致しているように見えるアクションを実行するように受信者に指示しますが、受信者は機密情報(社会保障番号、銀行口座番号、クレジットカード番号、ログイン資格情報)を漏えいさせたり、受信者のデバイスまたはネットワークに感染するファイルをダウンロードすることになります。 たとえば、受信者は「このリンクをクリックしてプロファイルを更新する」ように指示される場合がありますが、リンクによって偽のWebサイトに移動させられ、表面上はプロファイルを更新しながら、受信者の実際のログイン資格情報を入力させられることになります。 または、正当と思われる添付ファイル(たとえば、「invoice20.xlsx」)を開くように指示される場合がありますが、マルウェアまたは悪意のあるコードが受信者のデバイスまたはネットワークに送信されてしまいます。
スピア・フィッシングは、特定の個人(通常、機密データまたはネットワーク・リソースへのアクセス権限を持つ個人、または詐欺師が詐欺目的または不正な目的で悪用できる特別な権限を持つ個人)を標的とするフィッシング攻撃です。
スピア・フィッシングを行う詐欺師は、ターゲットを調査して、ターゲットが実際に信頼している個人またはエンティティー(友人、上司、同僚、仲間、信頼できるベンダー、または金融機関)を装う、またはターゲット個人を装うために必要な情報を収集します。 ソーシャル・メディアやソーシャル・ネットワーキング・サイト(人々が同僚を公に祝福し、同僚やベンダーを支持し、会議やイベント、旅行計画について過剰に共有する傾向がある)は、スピアフィッシング研究のための豊富な情報源になっています。
この情報を武器に、スピア・フィッシングの詐欺師は特定の個人情報や財務情報を含むメッセージと信頼できるリクエストをターゲットに送信できます。「あなたが休暇で不在になるのを知っています。今日の営業終了までにこの請求書の支払いをお願いできますか(またはXXX.XX米ドルをこの口座に振り込んで頂けますか)?」というようなリクエスト・メッセージです。
一部のスピア・フィッシング・メールは、大規模な攻撃に備えて、さらに多くの情報を収集しようとします。 たとえば、スピア・フィッシング・メッセージは、短時間の停止中に失われた電子メール・アカウントの資格情報を更新するようにCEOに要求する場合がありますが、代わりにその資格情報を盗むように設計された悪意のある偽のWebサイトへのリンクを提供します。 これらの資格情報が手元にあれば、攻撃者はCEOのメールボックスに完全にアクセスできます。攻撃者はCEOの電子メール・メッセージを調べてさらに詳しい情報を入手し、CEOの実際の電子メール・アドレスを使用して、説得力のある不正なメッセージをCEOの電子メール・アカウントから直接送信できます。
これは、ビジネス・メール詐欺(BEC)の例です。これは、会社の従業員をだまして非常に高額の金銭や貴重な資産を攻撃者に送るように設計された、特に危険なタイプのスピア・フィッシング攻撃です。 BECメールは、ビジネスの最高ランク・メンバーのメール・アカウントから、または弁護士、主要なビジネス・パートナー、大手ベンダーなどの高レベルのビジネス・アソシエイトから送信されているか、送信されているように見え、確実に信頼してしまうほどに十分な詳細情報を含んでいます。
BEC攻撃を成功させるために必要な情報を入手するための戦術は、スピア・フィッシングだけではありません。 ハッカーは、マルウェアを配備したり、システムの脆弱性を悪用して、電子メール・アカウント・データにアクセスすることもできます。 または、アカウント・データにアクセスできない場合、ハッカーは送信者のアドレスをスプーフィングしようとする可能性があります。送信者の実際のアドレスに非常に類似した電子メール・アドレスを使用して、受信者が違いに気付かないようにします。
戦術に関係なく、BEC攻撃は成功すると、最も被害コストがかかるサイバー攻撃の1つです。 BECの最も有名な例の1つでは、CEOになりすましたハッカーが、会社の財務部門に対して、5,000万ユーロ近くのお金を不正な銀行口座に送金するように仕向けました。
SMSフィッシングまたはスミッシングは、モバイルやスマートフォンのテキスト・メッセージを使用してフィッシングを行います。 最も効果的なスミッシング方式は状況に応じたものです。それは、スマートフォンのアカウント管理やアプリに関連したものです。 たとえば、受信者は、ワイヤレス請求書の支払いに対する「感謝」としてギフトを提供するテキスト・メッセージを受信したり、ストリーミング・メディア・サービスを継続して使用するためにクレジット・カード情報を更新するように求めたりする場合があります。
ボイス・フィッシング、またはビッシングは、電話でフィッシングを行います。 ボイス・オーバーIP(VoIP)テクノロジーのおかげで、詐欺師は1日に何百万もの自動ビッシング電話をかけることができます。多くの場合、発信者IDのなりすましを使用して、正規の組織または地域の電話番号から発信されたように見せかけます。 ビッシング・コールは通常、クレジット・カード処理の問題、支払いの滞納、またはIRSの問題の警告で、受信者を怖がらせます。 電話をかけ直した人は、詐欺師のために働いている人々に機密データを提供することになります。中には、電話の相手である詐欺師に自分のコンピューターのリモート制御を許可することになる場合さえあります。
ソーシャル・メディア・フィッシング は、ソーシャル・メディア・プラットフォームのさまざまな機能を使用して、メンバーの機密情報をフィッシングします。 詐欺師は、通常の電子メールやテキスト・メッセージを使用するのとほぼ同じ方法で、プラットフォーム独自のメッセージ機能(Facebook Messenger、LinkedInメッセージ、またはInMail、TwitterのDMなど)を使用します。 また、ソーシャル・ネットワーク・サイトから送信されたように見えるフィッシング・メールをユーザーに送信し、受信者にログイン資格情報または支払い情報を更新するように要求します。 これらの攻撃は、複数のソーシャル・メディア・サイトで同じログイン資格情報を使用する被害者にとっては特に被害コストがかかってしまう可能性があり、これは、あまりにもありふれた「ワースト・ぷらプラクティス」です。
アプリケーションまたはアプリ内メッセージング。 人気のスマートフォン・アプリとWebベース(サービスとしてのソフトウェア、またはSaaS)アプリケーションは、ユーザーに定期的にメールを送信します。 その結果、ユーザーは、アプリまたはソフトウェア・ベンダーからの電子メールを偽装するフィッシング・キャンペーンの準備ができることになります。 再び数のゲームを行うと、詐欺師は通常、最も人気のあるアプリやWebアプリケーション(PayPal、 Microsoft Office 365 、Teamsなど)からの電子メールをスプーフィングして、フィッシング詐欺から最大の成果を得ます。
組織は、フィッシング詐欺を認識する方法をユーザーに教え、疑わしい電子メールやテキスト・メッセージを処理するためのベスト・プラクティスを開発することが推奨されます。 たとえば、ユーザーに、フィッシング・メールの特徴やその他の特徴的な機能を認識するよう教育することができます。
-機密情報または個人情報の要求、あるいはプロファイルまたは支払い情報の更新の要求
-送金または振込のリクエスト
-受信者が要求または予期していなかった添付ファイル
-露骨かどうかにかかわらず、切迫感(「あなたのアカウントは本日閉鎖されます...」)を煽るもの または、懲役やその他の非現実的な結果についての微妙な(たとえば、同僚からの請求書の即時支払いの要求などの)脅威
-懲役または他の非現実的な結果にまつわる脅威
-誤ったつづりや文法
- -一貫性のない、または、なりすましの送信者アドレス
-ビットを使用して短縮されたリンク。Lyまたはその他のリンク短縮サービス
-テキストの代わりに使用されるテキストの画像(メッセージ内、またはメッセージ内にリンクされているWebページ上)
このリストはフィッシング・メールの特徴の一部に過ぎません。残念ながら、ハッカーは検出されるのを回避するために常に新しいフィッシング手法を考案しています。 フィッシング対策ワーキング・グループの四半期ごとのフィッシング・トレンド・アクティビティー・レポート ( ibm.com外部へのリンク)などの出版物はは、組織がペースを維持するのに役立ちます。
組織は、従業員にフィッシング詐欺を何としても見つけ出すようにと圧力をなるべくかけないで済むベストプラクティスを奨励または実施することもできます。 たとえば、組織は明確なポリシーを確立して伝達することができます。たとえば、「上司や同僚が資金移動の要求を電子メールで送信することはありません」などです。 メッセージに記載されている以外の手段を使用して、送信者に連絡するか、送信者の正規のサイトに直接アクセスすることにより、従業員に個人情報または機密情報の要求を確認するように要求できます。 また、従業員に対して、フィッシングを試みていると思われるものや、疑わしい電子メールをITグループまたはセキュリティー・グループに報告するように要求することもできます。
最良のユーザー・トレーニングと厳格なベスト・プラクティスにもかかわらず、ユーザーは依然として間違いを犯します。 幸いなことに、さまざまな確立された新しいエンドポイントとネットワーク・セキュリティー・テクノロジーは、セキュリティー・チームが、トレーニングとポリシーを欠いた中で発生するフィッシングに対抗するのに役立ちます。
-スパム・フィルターは、既存のフィッシング詐欺と機械学習アルゴリズムのデータを組み合わせて、疑わしいフィッシング・メール(およびその他のスパム)を特定し、それらを別のフォルダに移動して、そこに含まれているリンクを無効にします。
-ウイルス対策およびマルウェア対策ソフトウェアは、フィッシング・メール内の悪意のあるファイルまたはコードを検出して無効にします。
-多要素認証は、ユーザー名とパスワードに加えて、少なくとも1つのログイン資格情報が必要です。たとえば、ユーザーの携帯電話に送信される1回限りのコードです。 多要素認証は、フィッシング詐欺やパスワードを侵害する可能性のあるその他の攻撃に対する最後の防衛線を追加することで、スピア・フィッシング攻撃を弱体化させ、BECを防ぐことができます。
-Webフィルターは、ユーザーが既知の悪意のあるWebサイト(「ブラックリストに登録された」サイト)にアクセスするのを防ぎ、ユーザーが悪意のあるWebサイトまたは偽のWebサイトにアクセスするたびにアラートを表示します。
一元化されたサイバーセキュリティー・プラットフォーム-例:セキュリティ情報とイベント管理(SIEM) 、エンドポイント検出と応答(EDR)、ネットワーク検出と応答(NDR)、拡張検出と応答(XDR)-これらのテクノロジーとその他のテクノロジーを継続的に更新される脅威インテリジェンスと自動インシデント応答機能と組み合わせることで、組織がフィッシング詐欺がユーザーのところに到達する前に防止するのに役立ち、エンドポイントまたはネットワークの防御を通過するフィッシング攻撃の影響を制限します。
オープン・スタンダードと自動化で構築された業界初の包括的な拡張検出および応答(XDR)ソリューションです。 XDR Connectは、エンドポイント、ネットワーク、クラウド、およびアプリケーション全体にわたり深い可視性、自動化、およびコンテキストの洞察を提供します。
IBMインシデント対応ソリューションは、セキュリティー・チームが、インテリジェントなオーケストレーション、フル・レンジのサービス、およびIBM Security X-Forceのツール、専門知識、人材を使用して、フィッシングやその他の脅威を事前に管理し対応するのに役立ちます。
組織のセキュリティーを危険にさらすフィッシング攻撃から従業員を保護します。
IBM Securityのソリューションを使用して、企業の機密データを人質に取るランサムウェアの脅威からデータを保護します。
すべてのユーザー、すべてのデバイス、およびすべての接続、すなわち IBM ゼロトラスト・セキュリティー・ソリューションを使用するすべての時間に施されたセキュリティーを取得します。
データ・セキュリティー・ソリューションを使用することで、複数の環境にわたって企業データを保護し、プライバシー規制を満たし、運用の複雑さを簡素化します。
IBM Trusteer Rapportは、マルウェア感染やフィッシング攻撃を検知して防止し、金融機関の小売顧客と企業顧客を保護します。
インテリジェント・オーケストレーションは、反復可能なプロセスを定義し、熟練アナリストに権限を与え、統合テクノロジーを活用することで、インシデント対応を強化します。
ネットワークにアクセスできるインサイダーからの悪意のあるまたは意図しない脅威から組織を守る方法をご覧ください。