こちらもおすすめ
公開日
作成日:
2023年4月04日
執筆者
Keiichi Sato
フィッシング詐欺(攻撃)には、スミッシング、ホエーリング、スピアフィッシングなど、いくつかのタイプがあります。 フィッシング攻撃の種類を理解し、それを見分けれるようになることが重要となります。 フィッシング攻撃の種類を知ることで、個人情報を保護することができるようになります。
フィッシング詐欺の種類とその対策についてご紹介します。
フィッシング攻撃とは?
フィッシング攻撃とは、ソーシャルエンジニアリングによるサイバー攻撃の一種で、標的の被害者を説得し、機密情報を開示させようとするものです。 フィッシング攻撃に気づかないと、それに引っかかる傾向があり、結果として、クレデンシャル、クレジットカード番号などのセンシティブな個人情報が失われることがあります。 フィッシング攻撃は、年々巧妙になってきており、見破るのが難しくなってきていますが、不可能ではありません。
知っておきたい10種類のフィッシング詐欺
知っておきたい種類のフィッシング詐欺(攻撃)をご紹介します。
スミッシング
スミッシング は、SMS フィッシングとも呼ばれ、リンクをクリックするよう求めるテキストメッセージを受信することです。 メッセージは、まるで無料製品のオファーや緊急のアラートが含まれているかのように表現されることがあります。 攻撃者は、被害者の個人情報を使ってメッセージが本物であることを確信させようとすることで、機密データを開示させます。
ビッシング
ビッシングは、スミッシングと似ていますが、テキストメッセージではなく、電話を通じて行われます。 ビッシングの被害者は、電話の向こうで別の人と話しているため、より確信的になる傾向があります。 このため、被害者は自分を疑うことなく、機密情報を開示する可能性が高くなります。
クローンフィッシング
クローンフィッシングとは、攻撃者が正規の企業からの電子メールを複製し、被害者に再送信することです。 しかし、クローンメールには悪意のあるリンクやマルウェアが含まれており、それらをクリックしてしまうと被害者のデバイスに感染します。 これにより、被害者のすべての個人情報が漏洩し、盗まれる危険性があります。
ホエーリング
ホエーリングとは、フィッシング攻撃の一種で、一般人ではなく、著名な個人をターゲットとしたものです。 知名度の高い人物の例としては、企業の CEO が挙げられます。 このタイプの攻撃の目的は、ハイレベルなデータや極秘情報へアクセスすることです。
ファーミング
ファーミングとは、フィッシング攻撃の一種で、被害者が正規のサイトからなりすましサイトにリダイレクトされるもので、偽サイトとも呼ばれています。 リダイレクトさせる目的は、被害者に個人情報を入力させ、それを盗み出そうとすることです。
ポップアップフィッシング
ポップアップフィッシングとは、個人がウェブサーフィンをしているときに、被害者となる可能性のある人のデバイスのセキュリティに何か問題があることを伝えるメッセージがポップアップで表示されることです。 例えば、次のようなメッセージが表示されることがあります。「警告! お使いのコンピューターがウイルスに感染している可能性があります。」その後、デバイスをスキャンするよう促されますが、そうすることでデバイスがマルウェアに感染してしまいます。 マルウェアがインストールされると、インストールされたマルウェアの種類に応じて、攻撃者はデータを盗んだり、ファイルにアクセスさせないようにすることができます。
スピアフィッシング
スピアフィッシングでは、攻撃者は被害者のフルネーム、電話番号、住所などの事前情報を持っている必要があります。 スピアフィッシングは、電子メール、テキストメッセージ、電話を通じて行われることがあります。 このタイプの攻撃では、攻撃者が自分に関する情報を持っているため、被害者は簡単に納得してしまいます。
悪魔の双子フィッシング
悪魔の双子フィッシングとは、攻撃者が偽の Wi-Fi アクセスポイントを設置することです。 被害者は正規の Wi-Fi ネットワークをクリックする代わりに、偽の Wi-Fi ネットワークをクリックすることになります。 攻撃者は、被害者が自分のアカウントにログインし、クレジットカード番号などの機密情報を入力したときなど、被害者の行動をすべて見ることができるようになります。 このタイプの攻撃は、被害者が公共の Wi-Fi ネットワークにアクセスしようとしているときに発生する可能性が高いです。
アングラーフィッシング
アングラーフィッシングとは、攻撃者がカスタマーサービス担当者(CSR)を装って、被害者に個人情報を開示させようとするものです。 被害者は、それが正規の CSR であると信じるので、何のためらいもなく情報を提供してしまうのです。
HTTPS フィッシング
HTTPS フィッシングとは、攻撃者が Hypertext Transfer Protocol Secure(HTTPS)を使用しているなりすましサイトを作成することです。 ほとんどのサイトでは、URL バーの鍵のアイコンのところに HTTPS が表示されています。 HTTPS は、ブラウザとサイト間のトラフィックを暗号化するため、サイトの接続が安全であることを保証するための標準プロトコルです。 しかし、なりすましたサイトを被害者に信用させるために、多くの攻撃者が HTTPS を悪用しています。 なりすましサイトは安全ではありませんが、偽の HTTPS によって安全であるように見せかけています。 そのため、被害者はそのなりすましサイトに情報を入力する可能性が高くなります。
フィッシング詐欺の実例
ここでは本当にあったフィッシング詐欺の実例がどんなものなのか紹介します。
もしも、これから紹介する事例と似たようなシチュエーションがあった場合は、フィッシング詐欺の可能性が高いので気をつけましょう。
銀行を装ったフィッシングメール
ユーザーが銀行からのように見えるメールを受け取り、そのメールにはログイン情報を更新するよう求めるリンクが含まれています。リンクをクリックすると、銀行のウェブサイトに似た偽のサイトに誘導され、そこでログイン情報を入力すると、詐欺師がその情報を盗み取ります。そして、ユーザーが偽のウェブサイトでログイン情報を入力した後、詐欺師はその情報を使用して本物の銀行アカウントにアクセスします。アクセスが成功すると、彼らは資金を不正に引き出したり、他の詐欺行為に利用することができます。このフィッシング詐欺の特徴として、メールは通常、公式に見えるロゴやデザインを使用しており、言葉遣いも正式なものに見えます。しかし、リンク先のURLは銀行の本物のウェブサイトとは異なることが多く、細かい部分で違いが見られます。なので、しっかりとURLが公式なものかなどチェックしましょう。
SNSアカウントの乗っ取りメッセージ
ソーシャルメディアユーザーが、友人からのメッセージと思われるリンクを受け取ります。そのリンクをクリックすると、ログイン情報を盗むための偽のログインページに誘導されます。情報を入力すると、アカウントが乗っ取られ、同様のフィッシングリンクが友人に送信されることがあります。このリンクには、通常、緊急性を伴うメッセージや興味を引く内容を含んでおり、受信者がリンクをクリックする可能性を高めます。例えば、「これを見て!信じられない!」や「緊急:あなたのアカウントに問題があります!」のようなメッセージが使われることがあります。、自分のログイン情報を入力すると、彼らのアカウントもまた乗っ取られ、詐欺はさらに広がることになります。このようなメッセージを見ても絶対にクリックしないようにしましょう。
税金還付詐欺
この種のフィッシング詐欺では、詐欺師は税務署や他の公的機関を装い、メールを通じて大きな税金還付があると装いメールが送られてきます。さらに大きな税金還付があると告げられます。そのリンクをクリックすると、個人情報や銀行口座の詳細を入力するよう求められます。ユーザーがこれらの情報を入力すると、詐欺師はそれを利用して直接金銭を盗むか、または身元盗用のために使用されてしまいます。
フィッシング攻撃から身を守る対策
フィッシング詐欺の代表的なものを知っていただいた上で、その被害から身を守るための対策方法をご紹介します。
最新のフィッシングの脅威について常に情報を入手しておく
フィッシング攻撃から身を守るための最も重要な方法のひとつとして、どういったものなのかを知り、世間を騒がせている最新のフィッシング詐欺について常に情報を入手しておくことです。 フィッシング詐欺は、確定申告シーズンのような大きなイベント時に発生しやすく、攻撃者が国税庁を装うことがよくあります。 最新のフィッシング詐欺に用心深くすることが、自分と自分の情報を守ることにつながります。
よくわからないリンクや添付ファイルをクリックしないようにしましょう
特に知らない人からよくわからないリンクや添付ファイルを受け取った場合は、クリックすべきではないことを常に心がけてください。 さらなる予防措置として、リンクをクリックする前に、そのリンクが安全かどうかを確認してください。 リンクの上にマウスカーソルを置いて、URL が 「不審」に見えるかどうかをチェックするのもひとつの方法です。また、Google Transparency Report (透明性レポート)のような URL チェッカーを使って、その URL がクリックしても安全かどうかを確認することもできます。 もしそうでない場合は、攻撃者がなりすましている会社に報告してください。そうすれば、他の顧客にも警告してもらうことができます。
アカウントに 2FA を設定しているか確認する
万が一、フィッシングの被害に遭い、攻撃者にクレデンシャルを持ち逃げされても、二要素認証(2FA)を導入していれば、アカウントの完全な漏洩は防ぐことができます。 2FA は、ユーザー名とパスワードに加えて、1 つまたは複数の認証メソッドを追加します。 つまり、攻撃者があなたのログイン情報を知っていたとしても、追加の認証がなければ、あなたのアカウントにログインすることはできないのです。
個人情報の開示を求める人には応じない
知らない人や連絡を取ったことのない人が、機密情報や個人情報を尋ねてきたら危険信号です。 フィッシング詐欺の多くは、被害者に情報を開示させるために、脅しの手口を使いますが、騙されないように立ち回ることが重要となります。 自分から個人的に会社に連絡を取るのでなければ、正規の企業があなたに機密情報の開示を求めることはありません。
重要なデータや情報をバックアップする
フィッシング攻撃の多くにより、お使いのデバイスがマルウェアに感染する可能性があります。 ランサムウェアのような特定の種類のマルウェアによって、ファイルにアクセスできなくなる可能性があるため、個人データを常に安全な場所にバックアップしておくことが重要です。 ファイルストレージを提供するパスワードマネージャーに情報を保存するのが最善の方法です。 Keeper パスワードマネージャーは、安全なファイルストレージというアドオンを提供しており、さまざまな種類のファイルを保管して、どこからでも安全にアクセスすることができます。 暗号化された場所にバックアップされるため、ファイルへのアクセスを失う心配がなくなります。
まとめ:フィッシング詐欺の実例を知って、対策しましょう
フィッシング詐欺は、銀行や税務署を装ったメール、ソーシャルメディアの偽アカウントからのメッセージなど、多様な形で現れます。これらの詐欺には、個人情報や金融情報を盗む目的があります。これらのフィッシング詐欺の被害に合わないためには、知らないリンクやメールに開かなようにしましょう。
それらの通知が本物かどうか確かめるために公式のサイト、電話番号、メールアドレスなどに直接それらの機関に問い合わせることも大切です。
もしも事例のようなフィッシング詐欺の疑いがある、メールやメッセージを受け取っても焦らず対処しましょう。
またKeeperのようなパスワードマネージャーを使うのも1つのフィッシング詐欺対策になります。フィッシング詐欺を装ったウェブサイトにアクセスしてしまった時に、IDやパスワードなどといった保存されたパスワードの自動入力をする際に、一致した公式のウェブサイトでない場合は、自動入力をしないようになっています。
Keeperはクラウドベースで、高度なセキュリティを備えたパスワード管理ソリューションです。
現在、Keeperのパスワードマネージャーは無料30日間トライアル体験を開催しているので、この機会に試してみてはいかがでしょうか。
