フィッシングは、詐欺的なEメール、テキスト・メッセージ、電話、またはWebサイトを使用して人々を騙し、機密データを共有させたり、マルウェアをダウンロードさせたり、その他の方法でサイバー犯罪の危険にさらしたりするサイバー攻撃の一種です。
フィッシング攻撃はソーシャル・エンジニアリングの一種です。ネットワークやリソースを直接標的とする他のサイバー攻撃とは異なり、ソーシャル・エンジニアリング攻撃では、人為的ミス、偽のストーリー、圧力戦術を利用して、被害者を操作し、意図せずに被害者自身や組織に危害を加えさせます。
典型的なフィッシング攻撃では、ハッカーは同僚、上司、権威ある人物、有名ブランドの代表者など、被害者が信頼する人物になりすまします。ハッカーは、被害者に請求書の金額を支払う、添付ファイルを開く、リンクをクリックする、その他のアクションを実行するように指示するメッセージを送信します。
ユーザーはメッセージの送信元と思われる人物を信頼しているため、その指示に従い、詐欺師の罠にはまってしまいます。その「請求書」はハッカーのアカウントに直接つながっている可能性があります。その添付ファイルにより、ユーザーのデバイスにランサムウェアがインストールされる可能性があります。そのリンクをクリックすると、クレジット・カード番号、銀行口座番号、ログイン認証情報、その他の個人データを盗むWebサイトにユーザーを誘導する可能性があります。
フィッシングはサイバー犯罪者に好まれており、非常に効果的な手法です。IBMのデータ侵害のコストに関する調査によると、フィッシングは最も一般的なデータ侵害経路であり、全体の15%を占めています。フィッシングによる情報漏えいで組織が被る損害は、平均488万ドルになります。
フィッシングは、技術的な脆弱性ではなく人を悪用するため、重大な脅威です。攻撃者はシステムに直接侵入したり、サイバーセキュリティー・ツールを巧みに回避したりする必要はありません。攻撃者はターゲット(金銭、機密情報、その他)へのアクセスを許可された人々をだまして、悪い仕事をさせることができます。
フィッシングの攻撃者は、単独の詐欺師である場合もあれば、洗練された犯罪組織である場合もあります。個人情報の盗難、クレジット・カード詐欺、金銭の盗難、恐喝、アカウントの乗っ取り、スパイ活動など、さまざまな悪意のある目的でフィッシングを使用する可能性があります。
フィッシングのターゲットは、一般人から大企業や政府機関まで多岐にわたります。最も有名なフィッシング攻撃のひとつで、ロシアのハッカーが偽のパスワード再設定メールを使い、ヒラリー・クリントンの2016年アメリカ大統領選挙キャンペーンから数千通のEメールを盗み出しました。1
フィッシング詐欺は人間を巧みに操るため、標準的なネットワーク監視ツールや技術では未然に防ぐことはできません。実際に、クリントン陣営への攻撃では、陣営のITヘルプデスクでさえ、不正なパスワード再設定メールを本物だと思っていました。
フィッシングと戦うために、組織は高度な脅威検出ツールと強力な従業員教育を組み合わせて、ユーザーが詐欺行為を正確に特定して、安全に対応できるようにする必要があります。
「フィッシング」という言葉は、フィッシャーが餌を使って実際の魚を釣るのと同じように、詐欺師が魅力的な「ルアー」を使って被害者を騙すことから来ています。フィッシングでは、ルアーは信用できるように見えて、恐怖、欲望、好奇心などの強い感情を呼び起こす詐欺メッセージです。
フィッシング詐欺師が使用するおとりは、誰を、何を狙っているかによって異なります。フィッシング攻撃の一般的な例には、次のようなものがあります。
詐欺師はできるだけ多くの人にスパム・メールを無差別に送信し、ターゲットの一部が攻撃に引っかかることを期待しています。
詐欺師は、銀行、オンライン小売業者、人気アプリの開発元など、大規模な正規企業から送信されたように見えるEメールを作成することがよくあります。詐欺師は、有名ブランドになりすますことで、ターゲットが当該ブランドの顧客である可能性を高めます。ターゲットが定期的にブランドとやり取りしている場合、当該ブランドから送信されたと思われるフィッシング・メールを開いてしまう可能性が高くなります。
サイバー犯罪者は、フィッシング・メールを本物に見せかけるために、あらゆる努力を怠りません。なりすました送信者のロゴやブランドを使用する可能性があります。Eメール・アドレスを偽装して、なりすました送信者のドメイン名からメッセージが送信されているかのように見せかける可能性があります。なりすました送信者からの本物のEメールをコピーし、悪意のある目的のために変更する場合もあります。
詐欺師は、強い感情に訴えたり、緊迫感を与えたりするようなメールの件名を考えます。巧妙な詐欺師は、「ご注文に問題があります」や「請求書が添付されています」など、なりすました送信者が実際に対応する可能性のある件名を使用します。
メール本文では、受信者に、機密情報の漏洩やマルウェアのダウンロードにつながる、一見すると合理的な行動を取るように指示します。 たとえば、フィッシング・リンクには「プロフィールを更新するにはここをクリックしてください」と書かれている場合があります。被害者がその悪意のあるリンクをクリックすると、偽のWebサイトに誘導され、ログイン認証情報が盗まれます。
人々が圧力を受けやすい休日やその他のイベントに合わせてフィッシング・キャンペーンのタイミングを計る詐欺師もいます。 例えば、アマゾンの顧客を狙ったフィッシング攻撃は、オンライン小売業者が毎年開催するセールイベント、プライムデーの前後に急増することが多いです。2 詐欺師は、人々の警戒心の弱さを利用して、偽の取引や支払いの問題に関するメールを送信します。
スピア・フィッシングは、特定の個人を標的としたフィッシング攻撃です。通常、標的となるのは、企業口座から資金を移動できる財務マネージャーなど、機密データへの特権アクセスや、詐欺師が悪用できる特別な権限を持つ人物です。
スピア・フィッシング攻撃者は、ターゲットを調査して、友人、上司、同僚、ベンダー、金融機関など、ターゲットが信頼する人物を装うために必要な情報を収集します。ソーシャル・メディアやプロフェッショナル・ネットワーキング・サイト(人々が公に同僚を祝福し、ベンダーを支持し、過剰に共有する傾向があるサイト)は、スピア・フィッシングを狙う攻撃者にとっての豊富な情報源です。
スピア・フィッシング詐欺師は、調査結果を利用して、特定の個人情報を含むメッセージを作成し、ターゲットにとって信頼できるものであるように見せかけます。たとえば、スピア・フィッシング詐欺師がターゲットの上司を装い、「今夜休暇で出発されるのは存じ上げていますが、今日の営業終了前にこの請求書の金額を支払っていただけますか?」といった内容のメールを送信する可能性があります。
経営幹部レベルのエグゼクティブ、富裕層、その他の価値の高いターゲットを狙ったスピア・フィッシング攻撃は、ホエール・フィッシングやホエーリング攻撃とも呼ばれます。
BECとは、スピア・フィッシング攻撃の一種で、企業やその他の組織から金銭や貴重な情報(企業秘密、顧客データ、財務情報など)を盗み出そうとするものです。
BEC攻撃にはいくつかの種類があります。最も一般的なものは次のとおりです。
BEC攻撃はサイバー攻撃の中でも最もコストの大きい攻撃の1つであり、一度に数百万ドルが盗まれることがよくあります。特筆すべき例では、詐欺師のグループが合法のソフトウェア・ベンダーを装って、Facebook社とGoogle社から1億米ドル以上を盗みました。3
なかには、こうした大々的な戦術から離れ、より多くの標的に対して小規模な攻撃を仕掛ける場合もあります。アンチ・フィッシング・ワーキング・グループ(APWG)の報告では、BEC攻撃は2023年に頻度を増しましたが、詐欺師が1回の攻撃で要求する金額は平均して少なかった、というデータが出ています。4
SMSフィッシング(またはスミッシング)は、偽のテキスト・メッセージを使用してターゲットを騙す手法です。詐欺師は通常、被害者の無線プロバイダーを装い、「無料ギフト」を提供するメッセージや、ユーザーにクレジットカード情報の更新を求めるメッセージを送信します。
米国郵便公社または別の運送会社を装う場合もあります。攻撃者は、注文した荷物を受け取るには料金を支払わなければならないことを伝えるメッセージを送ります。
ボイス・フィッシング(またはヴィッシング)は、電話を使ったフィッシング攻撃です。APWG社によると、ヴィッシングは近年爆発的に増加しており、2022年から2023年の間に260%増加しています。5ヴィッシングの増加は、詐欺師が1日に何百万もの自動化されたヴィッシング電話をかけるために利用できる、ボイス・オーバーIP(VoIP)技術を利用できるようになったことが一因です。
詐欺師はしばしば、発信者番号通知を偽装して、合法の組織や地元の電話番号からの電話のように見せかけます。ビッシング電話は通常、クレジット・カードの処理の問題、支払いの遅れ、またはIRSとのトラブルについて警告し、受信者に恐怖を与えます。受信者は、問題を「解決」するために、最終的に機密データや金銭をサイバー犯罪者に提供します。
ソーシャル・メディア・フィッシングは、ソーシャル・メディア・プラットフォームを利用したフィッシング攻撃です。詐欺師は、Eメールやテキスト・メッセージングを使用するのと同じ方法で、プラットフォームに組み込まれたメッセージング機能(Facebook Messenger、LinkedIn InMail、X(旧Twitter)のDMなど)を使用します。
詐欺師は、アカウントにログインしたり、コンテストで優勝したりするために、ターゲットの助けを必要とするユーザーを装うことがよくあります。 詐欺師は、この策略を利用してターゲットのログイン資格情報を盗み、プラットフォーム上のアカウントを乗っ取ります。これらの攻撃は、複数のアカウントで同じパスワードを使用する(極めてよくあります)被害者にとって特に被害が大きくなる可能性があります。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
詐欺師は、検知されないように、常に新しいフィッシング手法を考案しています。最近の手法には次のようなものがあります。
AIフィッシングでは、生成AIツールを使用して、フィッシング・メッセージを作成します。これらのツールを使用すると、スペルミスや文法の不一致、その他のフィッシング詐欺によく見られる危険信号がない、カスタマイズされたメールやテキスト・メッセージを生成できます。
生成AIは、詐欺師が攻撃を拡大するのにも役立ちます。IBMの X-Force Threat Intelligence Indexによると、詐欺師がフィッシングEメールを手動で作成するのに、16時間ほどかかります。AIを使用することで、詐欺師はわずか5分でより説得力のあるメッセージを作成できます。
詐欺師は、自分たちのスキームの信頼性をさらに高めるために、画像ジェネレーターや音声合成装置も使用します。例えば、2019年には、攻撃者がAIを使ってエネルギー会社のCEOの声をコピーし、銀行の支店長から243,000米ドルをだまし取りました。7
キッシングは、Eメールやテキスト・メッセージに埋め込まれたり、現実の世界に投稿された偽のQRコードを使用します。キッシングにより、ハッカーは悪意のあるWebサイトやソフトウェアをわかりやすい場所に隠すことができます。
例えば、米国連邦取引委員会(FTC)は昨年、犯罪者が公共のパーキング・メーターのQRコードを独自のコードに置き換え、支払いデータを盗む詐欺について警告しました。6
ハイブリッド・ビッシング攻撃は、ボイス・フィッシングと他の方法を組み合わせてスパム・フィルターを回避し、被害者の信頼を獲得しようとします。
たとえば、詐欺師は、IRSからであると偽ってメールを送信する可能性があります。このメールは、対象者に納税申告書に問題があることを伝えます。この問題を解決するには、ターゲットはメールに記載されている電話番号に電話し、詐欺師に直接つながることになります。
詳細は詐欺によって異なりますが、メッセージがフィッシングの試みである可能性を示す、共通の兆候がいくつかあります。例えば、次のようなものがあります。
フィッシング詐欺は、被害者に切迫感を感じさせ、何も考えずに迅速に行動させようとします。詐欺師は多くの場合、恐怖、欲望、好奇心などの強い感情を呼び起こすことで、これを実現します。時間制限を課し、逮捕など、非現実的な結果になると脅します。
一般的なフィッシングの手口には、次のようなものがあります。
フィッシング詐欺は通常、金銭かデータのいずれかを要求します。請求されていない、または予期しない支払いや個人情報の要求は、フィッシング攻撃の兆候である可能性があります。
詐欺師は、延滞している請求書、罰金、サービスの料金を装って金銭を要求します。支払いや口座情報の更新、パスワードの再設定などの通知として、情報提供を要求しているように偽装します。
フィッシング・ギャングの多くは国際的に活動しているため、流暢に話せない言語でフィッシング・メッセージを作成することがよくあります。したがって、フィッシングの試みの多くには、文法上の誤りや矛盾が含まれています。
正規のブランドからのメッセージには、多くの場合、具体的な詳細が含まれています。顧客の名前を記載したり、特定の注文番号を参照したり、問題が何であるかを正確に説明したりします。「アカウントに問題があります」など、詳細が記載されていない、漠然としたメッセージは危険信号です。
詐欺師は、一見すると正当と思われるURLやメールアドレスをよく使用します。たとえば、「admin@rnicrosoft.com」からのメールは安全に見えるかもしれませんが、もう一度よく見てください。「Microsoft」の「m」が「r」と「 n」になっています。
もう1つの一般的な手口は、「bankingapp.scamsite.com」のようなURLを使用することです。ユーザーは、これがbankingapp.comにリンクしていると思うかもしれませんが、実際にはscamsite.comのサブドメインになっています。ハッカーは、リンク短縮サービスを使用して、悪意あるURLを偽装することもあります。
詐欺師は、ターゲットが要求していない、または期待していないファイルや添付ファイルを送信する可能性があります。スパム・フィルターを回避するために、メッセージやWebページでは実際のテキストの代わりにテキストの画像を使用する場合があります。
詐欺師の中には、被害者を激怒させるために、注目を集めている問題に言及する人もいます。たとえば、IBM X-Forceは、詐欺師が標的の感情を煽るためにウクライナ紛争の問題をよく利用していることを発見しました。
フィッシング詐欺は人々をターゲットにするため、多くの場合、従業員はこれらの攻撃に対する組織の最初で最後の防御線となります。組織は、フィッシング攻撃の兆候を認識し、疑わしいEメールやテキスト・メッセージに対応する方法をユーザーに教えることができます。これには、フィッシングの試みをITチームまたはセキュリティーチームに報告する簡単な方法を従業員に提供することが含まれます。
組織は、フィッシング攻撃を成功させないようにするポリシーや慣行を確立することもできます。
たとえば、組織はEメールを介して金銭の送金を行うことを禁止できます。メッセージに記載されている以外の方法で要求者に連絡して、金銭または情報の要求を確認するよう従業員に求めることができます。たとえば、従業員はリンクをクリックする代わりに、ブラウザにURLを直接入力したり、知らない番号からのメッセージに返信する代わりに、同僚のオフィスの電話番号に電話をかけたりすることができます。
組織は、フィッシング・メッセージを検出し、フィッシングを使用してネットワークに侵入するハッカーを阻止するのに役立つセキュリティー・ツールを使用して、従業員のトレーニングや会社のポリシーを補うことができます。
1 How Russian hackers pried into Clinton campaign emails, Associated Press, 4 November 2017.
2 How cybercriminals are targeting Amazon Prime Day shoppers, TechRepublic, 6 July 2022.
3この詐欺師がフィッシングメールを利用して、Google社とFacebook社から 1 億ドル以上を盗み出した方法。CNBC社2019年3月27日。
4, 5 Phishing Activity Trends Report, Anti-Phishing Working Group, 13 February 2024.
6クイッシングは新たなフィッシング。ZDNET社、2023年12月11日。
7 That panicky call from a relative? It could be a thief using a voice clone, FTC warns, NPR, 22 March 2023.