フィッシングとは?

シェア
Copied to clipboard!
フィッシングとは?
この記事を聞く
00:00 / 00:00

フィッシングとは?

フィッシングとは、評判の良い組織やサービスを装って、ユーザーを騙して、クレジットカードの詳細やユーザーネーム、パスワードなどを手に入れるサイバー攻撃の種類です。フィッシングには物理的な操作と(ハードウェアやソフトウェアではなく)人間の失敗に頼るので、ソーシャルエンジニアリング攻撃の1つと考えられています。

基本的に、フィッシング攻撃は不正なウェブサイトに個人情報を入力させるために不正なメールを使います。これらのメールはたいていユーザーにパスワードのリセット、もしくはクレジットカード情報の承認を求めるもので、オリジナルのやつにとても良く似ている偽ウェブサイトに誘導します。フィッシングの主要な種類にはクローンフィッシング、スペアフィッシング、そしてファーミングがあります。 

また、フィッシング攻撃は仮想通貨エコシステム内でも、ユーザーからハッカーがBitcoinや他のデジタル通貨を盗むために使われています。例えば、攻撃者が本当のウェブサイトになりすまして、ウォレットアドレスをハッカーのものにすり替えておき、ユーザーには正しいサービスに支払いをしていると思わせて、実際には盗まれているという攻撃方法です。

 

フィッシング攻撃の種類は?

フィッシングにはたくさんの種類があり、これらはターゲットと攻撃ベクトルに基づいて、分類されています。その中でも特に有名ないくつかをここに挙げておきます。

  • クローンフィッシング:攻撃者は以前に送信された正当なメールを使用し、その内容を悪質なサイトへのリンクを含む同様のものにコピーします。攻撃者は古いリンクは有効期限が切れたので、アップデートされたものや新しいリンクにアクセスするようにと言ってくるかもしれません。
  • スペアフィッシング: この種類の攻撃は、たいてい外部から知られている人、もしくは組織を狙います。スペアアタックはプロファイリングを行うので、他のフィッシングの種類よりも洗練されています。つまり、攻撃者はまず被害者の情報を収集(例 友人や家族の名前)して、そのデータに基づいて被害者が不正なウェブサイトに訪れたり、不正なファイルをダウンロードさせたりするためのメッセージを作ります。
  • ファーミング: 攻撃者は、実際には正当なウェブサイトの訪問者を攻撃者が事前に作成された不正なウェブサイトにリダイレクトさせるDNSレコードを作成します。これは最も危険な攻撃です。なぜなら、DNSレコードはユーザーがコントロールできるものではないので、これに対するユーザーの防御手段はないです。
  • ウェイリング: スペアフィッシングの一種で、CEOや政府高官のような裕福で、影響力のある人物をターゲットにします。
  • メールなりすまし: フィッシングメールはたいてい正しい企業や人物からのメールになりすまします。フィッシングメールは、攻撃者が巧妙に偽装されたログインページを使用してログイン認証情報とパスワードを収集する、悪意のあるサイトへのリンクを何も知らない被害者に提示する可能性があります。このページには、個人情報を盗むトロイの木馬、キーロガー、その他の悪質なスクリプトが含まれている可能性があります。
  • ウェブサイトリダイレクト: ウェブサイトリダイレクトはユーザーが訪れようとしているものとは違うURLをユーザーに送ります。脆弱性を悪用する攻撃者は、リダイレクトを挿入し、ユーザーのコンピュータにマルウェアをインストールする可能性があります。
  • タイポスクワッティング: タイポスクワッティングは、外国語、よくあるつづりの誤り、またはトップレベルドメインの微妙な違いを使用した偽造Webサイトにトラフィックを誘導します。フィッシング詐欺師はドメインを使用して正当なウェブサイトのインターフェースを模倣し、URLの誤入力や誤読をしたユーザーから個人情報を盗もうとします。
  • 水飲み場攻撃: 水飲み場攻撃では、攻撃者はユーザーのプロファイリングを行い、頻繁に訪れているウェブサイトを判断します。攻撃者はこれらのサイトの脆弱性を探して、可能だったら、そのサイトをユーザーが次に訪れた時にターゲットするように設計された不正なスクリプトを挿入します。
  • なりすましとギブアウェイ: インフルエンサーになりすますのはフィッシング式―むでよく使われているスキームの1つです。攻撃者は企業の主要なリーダーになりすまして、そのアカウントのフォロワーに対して、景品を宣伝したり、他の詐欺行為を行ったりします。この詐欺の被害者は騙されやすいユーザーを見つけることを目的としたソーシャルエンジニアリングプロセスを通じて、個別に標的にされる可能性さえあります。攻撃者は認証されたアカウントをハッキングして、認証を維持したまま、アカウントを実際の人物になりすませるようにユーザーネームを修正します。被害者はインフルエンサーみたいな人との交流によって、個人情報を提供することで、ハッカーが彼らの情報を悪用する機会を作ってしまいます。
    最近、攻撃者はチャットや管理人へのなりすましと正当なサービスをまねるという同じ目的のために、Slack、Discord、そしてTelegramのようなプラットフォームを特にターゲットにしています。
  • 広告: 有料広告はフィッシングが良く使うもう1つの戦略です。これらの偽広告は攻撃者がタイポスクワッティングしたドメインを使って、検索結果で上位に表示されるように課金します。そのサイトは正しい企業やサービス、例えばBinanceを検索した場合に一番上に表示されるかもしれません。そのサイトはたいてい、例えば取引用アカウントのログイン認証などを含む、機密情報を盗むために使われます。
  • 不正なアプリ: 攻撃者は、悪意のあるアプリをあなたの行動を監視したり、機密情報を盗んだりするマルウェアを注入するための媒介として使用する時もあります。このようなアプリは相場アプリ、ウォレットやその他の仮想通貨関連のツールになりしすまします。
  • テキストアンドボイスフィッシング:                 SMSフィッシングはテキストメッセージに基づくフィッシング、ビッシングの形式で、個人情報を盗むためにボイス/電話を使う場合もあります。

 

フィッシングvsファーミング

確かに、ファーミングは一部からはフィッシング攻撃の1種と考えられていますが、ファーミングは別のメカニズムによるものです。フィッシングとファーミングの主要な違いは、フィッシングは被害者がミスを行う必要がありますが、ファーミングでは被害者は攻撃者によってDNSレコードが改竄された、正しいウェブサイトにアクセスしようとするだけで十分です。


フィッシングの防ぎ方

  • 慎重: フィッシングに対する一番の防御方法は受け取ったメールに対して、疑い深くなることです。そのメールを受け取った時に、その話題に関して、誰かからのメールが送られてくることが期待できたかを開封する前に考えるのが大切です。その人物が聞こうとしている情報は本当に必要なものなのかを考えるのも大切です。こういった面で疑問が残った場合は、別の方法で送信者とコンタクトするのが最もいい方法です。
  • コンテンツ確認: コンテンツの一部や送信者のメールアドレスをサーチエンジンに入力することで、特定の方法でフィッシング攻撃に使われた記録がないかを確認することができます。
  • 別の方法を試す: 心当たりのある会社からアカウントの資格情報を確認するための正当な要求を受け取ったと思われる場合は、メール内のリンクをクリックするのではなく、さまざまな方法で確認してください。
  • URLを確認: リンクをクリックせずに移動し、HTTPだけでなくHTTPSで始まるかどうかを確認します。但し、HTTPSから始まるからと言って、必ずしもそのサイトが正しいことを保証するわけではないです。URLをよく見て、つづり間違いなどの不正がないかを確認しましょう。
  • 暗号鍵は絶対に教えない: 決してBitcoinウォレットの秘密鍵を漏らさないでください。そして、あなたが仮想通貨を送ろうとしているサービス、受取人が正しいかを判断するために慎重になってください。クレジットカードに対する仮想通貨の違いは、合意したサービスや商品を受け取れなかった場合、請求を取り消すための事業者がいないことです。だからこそ、仮想通貨取引を行う場合には、非常に慎重になる必要があります。

 

結論

フィッシングは最も普及し、良く使われるサイバー攻撃の技術です。所要なメールサービスのメールフィルタは、メールからなりすましをフィルタリングするのに優れた役割を果たしていますが、それでも注意が必要であり、最後の防御ラインとして注意し続ける必要があります。機密情報や個人情報を入力しないといけない場合には必ず慎重になってください。そして、可能であれば、送信者と要求が正当であることを常に別の手段で確認してください。セキュリティ上の問題があるので、メール内のリンクをクリックしないようにし、自分で正しいと確認できるウェブページにのみ移動し、さらに、URLの冒頭がHTTPSで始まるかを確認します。最後に、仮想通貨での取引の場合、サービスや商品が届かなくても、払った仮想通貨を取り戻す方法がないのでかなり慎重になってください。必ず、暗号鍵とパスワードは誰にも教えず、常に注意を払うようにしてください。

Loading