フィッシングとは何か?
フィッシング詐欺は、ユーザーを騙して機密データを漏洩させ、マルウェアをダウンロードさせ、自分自身や組織をサイバー犯罪行為にさらします。
IBMニュースレターの購読 IBM Security QRadarの詳細はこちら
オフィスで働く人々の上空からの写真
フィッシングとは何か?

フィッシング攻撃とは、ユーザーを騙してマルウェアをダウンロードさせたり、機密情報や個人情報(社会保障番号やクレジットカード番号、銀行口座番号、ログイン資格情報など)を共有させたり、自分自身や組織をサイバー犯罪にさらすような行動を取らせるように設計された、詐欺的なEメール、テキストメッセージ、電話、ウェブサイトを指します。

フィッシング攻撃が成功すると、個人情報の盗難、クレジットカード詐欺、ランサムウェア攻撃、データ侵害につながり、多くの場合、個人や企業が莫大な金銭的損失を被ることになります。

フィッシングは最も一般的なソーシャル・エンジニアリングであり、人々を騙したり、圧力をかけたり、操作して、情報や資産を不適切な人に送信させる行為です。ソーシャル・エンジニアリング攻撃は、人的ミスと圧力をかける戦術をベースにしています。攻撃者は通常、被害者が信頼する人物や組織(同僚や上司、被害者の雇用主が取引している会社など)になりすまし、被害者に軽率な行動を促すような危機感を引き起こします。ハッカーや詐欺師がこのような戦術を使用するのは、コンピューターやネットワークにハッキングするよりも、人々をだます方が簡単で低コストであるためです。

FBIによると、フィッシング・メールは、ハッカーが個人や組織にランサムウェアを配布するために使用する、最も一般的な攻撃方法または攻撃ベクトルです。IBMの「Cost of a Data Breach 2022」では、フィッシングはデータ侵害の2番目に多い原因(昨年の4番目から増加)となっています。フィッシングによるデータ侵害が最も高額で、被害者は平均491万米ドルの損失を被っていることが明らかになりました。
フィッシング攻撃の種類
大量のフィッシングメール

大量のフィッシングメールは、最も一般的なフィッシング攻撃です。詐欺師は、有名な大企業や組織(国内または世界の銀行、大規模なオンライン小売業者、人気のあるソフトウェア・アプリケーションやアプリケーションの開発元)から送信されたと思われるEメールを作成し、何百万人もの受信者に送信します。大量のフィッシングメールは、数の勝負です。なりすましの送信者が大規模であったり、知名度が高いほど、顧客、購読者、または会員である受信者が多くなります。

サイバー犯罪者は、フィッシングメールが正規のものであるかのように見せかけるために、さまざまな手段を講じます。通常、Eメールにはなりすまし元のロゴが含まれ、そのドメイン名が含まれるように「差出人」のEメールアドレスがマスクされます。「rnicrosoft.com」などを使用して、送信者のドメイン名を偽装するものもあります。「microsoft.com」は、一見すると合法のドメイン名に見えます。

件名には、なりすまし元の送信者が実際に使用する可能性が高いものが使われます。そして、受信者の注意を引くために、恐怖、貪欲、好奇心、切迫感、時間的プレッシャーなどの強い感情に訴えかけるものです。典型的には、「ユーザー・プロフィールを更新してください」、「ご注文に関する問題」、「書類に署名する準備ができました」、「請求書を添付しました」などがあります。

Eメールの本文では、受信者が社会保障番号、銀行口座番号、クレジットカード番号、ログイン認証情報などの機密情報を漏らしたり、受信者のデバイスやネットワークに感染するファイルをダウンロードしたりすることになる、一見すると合理的で件名に沿った行動を取るように指示します。

たとえば、受信者は「ここをクリックして、プロフィールを更新してください」と案内される可能性があります。その本文のハイパーリンクから偽のWebサイトに誘導され、プロフィール更新の一環として、本当のログイン資格情報を入力するように促されます。あるいは、正当と思われる添付ファイル(例:「invoice20.xlsx」)を開くように指示される場合もあります。しかし、これにより、マルウェアや悪意のあるコードが受信者のデバイスまたはネットワークに配信されます。

 スピアフィッシング

スピア・フィッシングは、特定の個人をターゲットにしたフィッシング攻撃です。通常、機密データやネットワーク・リソースへの特権的なアクセス権を持つ人物や、詐欺師が詐欺や悪意のある目的のために悪用できる、特別な権限を持つ人物を狙います。

スピア・フィッシングの攻撃者はターゲットとなる人物を調査して、その人物が本当に信頼する人物や団体(友人、上司、同僚、信頼できる業者、金融機関)を装ったり、特定の個人を装ったりするために必要な情報を収集します。ソーシャルメディアやソーシャル・ネットワーキング・サイトは、ユーザーが公に同僚を祝福したり、同僚や業者を推薦したり、ミーティングやイベント、旅行プランについて過剰に共有する傾向がある場所であり、スピア・フィッシングの豊富な情報源となっています。

スピア・フィッシングの攻撃者は、この情報に基づいて特定の個人情報や財務情報を含むメッセージを送信し、ターゲットに信頼性の高い要求をすることができます。例えば、「今夜休暇でお出かけになるのは存じておりますが、今日の営業終了までにこの請求書の支払いを完了して(もしくは、XXXドルをこの口座に振り込んで)いただけませんか?

経営幹部レベルのエグゼクティブ、富裕層、またはその他の価値の高いターゲットを狙ったスピア・フィッシング攻撃は、ホエールフィッシングやホエーリング攻撃とも呼ばれます。

 ビジネスメール詐欺(BEC)

ビジネスメール詐欺は、スピア・フィッシング攻撃の一種で、大金や極めて貴重な情報を盗み出そうとするものです。例えば、企業秘密や顧客データ、財務情報などです。

ビジネスメール詐欺には、いくつかの異なる形態があり、最も一般的なものは次のとおりです。

  • CEOへのなりすまし詐欺:詐欺師は、経営幹部のEメール・アカウントになりすましたり、直接ハッキングするなどして、部下の従業員にメッセージを送り、詐欺口座への送金、詐欺業者からの購入、不正な相手へのファイル送信などを指示します。

  • Eメール・アカウント侵害(EAC) 詐欺師は、部下である従業員(財務、営業、研究開発のマネージャーなど)のEメールアカウントにアクセスし、業者に不正な請求書を送信したり、他の従業員に不正な支払いや入金を指示したり、機密データへのアクセスを要求したりします。

これらの攻撃の一環として、詐欺師は多くの場合、役員や従業員にスピア・フィッシング・メールを送信し、Eメール・アカウントの資格情報(ユーザー名とパスワード)を漏洩させることで、会社のEメール・アカウントにアクセスします。たとえば、「パスワードの有効期限が近づいています。」のようなメッセージが表示されます。「このリンクをクリックして、アカウントを更新してください」といったメールには、アカウント情報を盗むことを目的とした、偽のWebサイトへの悪意のあるリンクが隠されている可能性があります。

ビジネスメール詐欺の成功は、その戦術にかかわらず、サイバー攻撃の中でも最も被害が大きい攻撃の1つです。最も有名な例では、CEOになりすましたハッカーが、会社の財務部門に4200万ユーロを不正な銀行口座に送金させた事例があります。

 ビジネスメール詐欺の詳細はこちら
その他のフィッシング攻撃の手口と戦術

SMSフィッシング(スミッシング)は、携帯電話やスマートフォンのテキストメッセージを使ったフィッシング攻撃です。最も効果的なのは、スマートフォンのアカウント管理やアプリに関連した、状況に応じた攻撃です。たとえば、受信者は、インターネット料金の支払いに対する「お礼」として贈り物を提供したり、ストリーミング・メディア・サービスを引き続き使用するために、クレジットカード情報を更新するように求めるテキスト・メッセージを受信する場合があります。

ボイス・フィッシング(ビッシング)は、電話を介したフィッシングです。Voice over IP(VoIP)の技術により、詐欺師は1日に何百万もの自動ビッシング通話を発信できます。多くの場合、発信者IDのスプーフィングを使用して、正規の組織または市内の電話番号からの通話であるかのように見せかけます。ビッシング電話は通常、クレジットカードの処理の問題、支払いの遅れ、またはIRSとのトラブルについて警告し、受信者を怖がらせます。発信者は、最終的にサイバー犯罪者に加担する人々に機密データを提供することになります。電話の相手側の詐欺師に、コンピューターの遠隔制御を許可してしまう人もいます。

ソーシャルメディア・フィッシングは、ソーシャルメディア・プラットフォームのさまざまな機能を利用して、ユーザーの情報を盗み出そうとします。詐欺師は、通常のEメールやテキスト・メッセージングを使用するのとほぼ同じ方法で、プラットフォーム内のメッセージング機能(Facebook Messenger、LinkedInのメッセージ機能、InMail、TwitterのDMなど)を使用します。また、ソーシャル・ネットワーキング・サイトから送信されたように見えるフィッシングメールをユーザーに送信し、ログイン情報や支払い情報を更新するよう求めます。これらの攻撃は、複数のソーシャルメディア・サイトで同じログイン情報を使用する被害者にとって特に大きな損失となる可能性があり、よくある「最悪の習慣」です。

アプリケーションまたはアプリ内でのメッセージ。人気のあるモバイルデバイスのアプリケーションやウェブベース(SaaS)のアプリケーションは、定期的にユーザーにEメールを配信しています。これにより、ユーザーは、アプリケーションやソフトウェアベンダーからのメールを偽装するフィッシングキャンペーンのターゲットになっています。ここでも数がものを言います。詐欺師は通常、最も人気のあるアプリケーションやWebアプリケーション(PayPal、Microsoft Office 365、Teamsなど)からのEメールを偽装し、フィッシング詐欺の対価を最大限に高めます。
フィッシング詐欺から身を守る
セキュリティ意識向上トレーニングとベストプラクティス

組織には、フィッシング詐欺を見分ける方法をユーザーに教え、不審なEメールやテキスト・メッセージに対処するためのベスト・プラクティスを策定することが奨励されます。たとえば、次のようなフィッシングメールの特徴を認識できるように教育できます。

  • 機密情報や個人情報の要求、またはプロフィールや支払い情報の更新のリクエスト

  • 送金などのリクエスト

  • 受信者が要求または予期していなかった添付ファイル

  • 懲役刑やその他の非現実的な結果に対するあからさまな脅迫(「あなたのアカウントは、今日閉鎖されます」)または微妙な脅迫(同僚からの請求書をすぐに支払うよう要求するなど)の緊迫感

  • 懲役刑やその他の非現実的な結果をもたらすという脅迫

  • スペルや文法がおかしい

  • 送信者アドレスの不一致、またはなりすまし

  • Bit.Ly、またはその他のリンク短縮サービスを使用して短縮されたリンク

  • テキストの代わりに使用されるテキストの画像(メッセージ内、またはメッセージ内でリンクされている Webページ上)

これらのリストは、氷山の一角です。ハッカーたちは、検出されないように、常に新しいフィッシング手法を考え出しています。Anti-Phishing Working Groupが四半期ごとに発行する「Phishing Trends Activity Report」(リンク先は、ibm.comの外部です)などが役立ちます。

組織は、従業員にフィッシング調査員にならなければいけない、というプレッシャーを軽減するベスト・プラクティスを奨励または強制することもできます。たとえば、組織は明確化ポリシーを確立し、伝達することができます。上司や同僚が資金を移動させるリクエストを電子メールで送信することはない、などです。メッセージに記載されている以外の手段を使用して、送信者に連絡するか、送信者の正規サイトに直接アクセスして、個人情報や機密情報の要求を確認するように、従業員に求めることができます。また、フィッシング行為や不審なEメールをITチームやセキュリティチームに報告するよう従業員に求めることもできます。

 フィッシングに対抗するセキュリティ技術

最高のユーザー・トレーニングと厳格なベスト・プラクティスを策定しても、やはりユーザーは間違いを犯してしまうものです。幸いなことに、いくつかのエンドポイントおよびネットワーク・セキュリティー・テクノロジーは、トレーニングやポリシーが中断された場合でも、セキュリティチームがフィッシングとの戦いを再開するのに役立ちます。

  • スパム・フィルターやメール・セキュリティ・ソフトウェアは、既存のフィッシング詐欺に関するデータや機械学習アルゴリズムを用いて、フィッシングの疑いのあるメール(およびその他のスパム)を特定し、別のフォルダに移動させて、含まれるリンクを無効にしてくれます。

  • ウイルス対策、およびマルウェア対策ソフトウェアは、フィッシングメール内の悪意あるファイルやコードを検出して、無効にしてくれます。

  • 多要素認証は、ユーザー名とパスワードに加えて、少なくとも1つのログイン認証情報を求めます。例えば、ユーザーの携帯電話に送信されるワンタイムコードなどです。多要素認証は、フィッシング詐欺やパスワードを盗もうとするその他の攻撃に対する、追加の防御層を提供することで、スピア・フィッシング攻撃を弱体化させ、ビジネスメール詐欺を防ぐことができます。

  • Webフィルターは、ユーザーが既知の悪意あるWebサイト(「ブラックリストに登録されている」サイト)にアクセスするのを阻止し、ユーザーが悪意あるWebサイトまたは偽のWebサイトを訪問しようとすると警告を表示します。

エンタープライズ・サイバーセキュリティー・ソリューション—例:SOAR(セキュリティのオーケストレーションと自動化によるレスポンス)SIEM(セキュリティ情報・イベント管理)EDR(エンドポイントの検知と対応)NDR(ネットワーク検知と対応)拡張検知と対応(XDR)は、継続的に更新される脅威インテリジェンスと自動化されたインシデントレスポンス機能を備えた、上記およびその他のテクノロジーを組み合わせたものです。これらのソリューションは、フィッシング詐欺がユーザーに到達する前に防止し、従来のエンドポイントやネットワーク防御をすり抜けたフィッシング攻撃による影響を抑えるのに役立ちます。
関連ソリューション
IBM Security® QRadar® SIEM

他の人が単に見逃している高度な脅威をキャッチします。QRadar SIEM は、分析と AI を活用して、脅威インテリジェンス、ネットワーク、およびユーザーの行動の異常を監視し、即時対応と修復が必要な箇所に優先順位を付けます。

 QRadar SIEM ソリューションの詳細を見る
IBM Security® Trusteer Rapport®

IBM Trusteer Rapport は、金融機関が小売顧客および事業顧客を保護することで、マルウェア感染やフィッシング攻撃を検出および防止できるように支援します。

Trusteer Rapportの詳細はこちら
IBM Security QRadar EDR

この洗練された使いやすいエンドポイント検出および対応 (EDR) ソリューションを使用して、サイバー攻撃からエンドポイントを保護し、異常な動作を検出し、ほぼリアルタイムで修復します。

 QRadar NDRの詳細はこちら
参考情報 フィッシングに関する最新情報を常に把握

IBM Security が主催する思想的リーダーシップのブログである Security Intelligence で、フィッシングのニュース、傾向、防止技術の最新情報を入手してください。

 ランサムウェアとは

ランサムウェアは、暗号化を解除してデータへのアクセスを復元するために攻撃者に身代金を支払わない限り、被害者のデータやファイルを破壊または保留すると脅すマルウェアの一種です。

 データ侵害のコスト

17 年目を迎えるこのレポートでは、拡大する脅威の状況に関する最新の洞察を共有し、時間を節約し損失を制限するための推奨事項を提供します。

次のステップ

サイバーセキュリティーの脅威はより高度かつ永続的になり、無数のアラートやインシデントを選別するためにセキュリティー・アナリストによるさらなる取り組みが求められています。IBM Security QRadar SIEMは、収益を維持しながら、脅威をすばやく簡単に修復できます。高忠実度のアラートを優先し、他が見逃してしまう脅威を検知できるようにします。

 QRadar SIEMの詳細はこちら デモの予約