スニッフィング攻撃は、通信ネットワークを通じて送受信
スミッシングとビッシングの大きな違いは、前者はターゲットとの接触方法に SMS のテキストメッセージを使い、後者は音声通話を使う点です。
FBI のインターネット犯罪苦情センター(IC3)の調査によると、ビッシングやスミッシングを含めたフィッシング攻撃は、米国で最大のサイバー脅威となっています。2022 年には、300,497 人がフィッシング攻撃の被害に遭い、被害総額は、52,089,159 ドルにのぼると報告されています。フィッシング攻撃の被害件数は 2021 年に比べて減少しましたが、被害総額は増加しました。
ここでは、スミッシングとビッシングや、この種のフィッシング攻撃から身を守る方法について詳しく説明します。
スミッシングとビッシングの主な違い
・スミッシング:SMS(ショートメッセージサービス)を通じて行われる詐欺です。
・ビッシング:音声通信、特に電話を使用した詐欺です。
スミッシングとビッシングはどちらもフィッシング攻撃の一種であり、脅威アクターは緊急を装う言葉でターゲットの不安を煽り、機密情報を盗み出します。スミッシングとビッシングの大きな違いは、脅威アクターが取る接触方法にあります。
スミッシング攻撃では、脅威アクターは SMS のテキストメッセージや、Messenger や WhatsApp といったメッセージアプリを使ってターゲットと接触します。ビッシング攻撃では、電話、自動音声通話、ボイスメールなどの音声通話で接触します。
フィッシングとは?
フィッシングとは、偽情報を信じ込ませて機密情報を盗み出そうとする、ソーシャルエンジニアリング攻撃の一種です。脅威アクターは、なりすましのテクニックを駆使して、自分が会社関係者、友人や家族、あるいは同僚であると信じ込ませます。
フィッシング攻撃では、「すぐに対応しないとアカウントが停止される」といった緊急を装うメールを送り付けて、ターゲットが深く考えずに、すぐに行動を取るように誘導します。フィッシング詐欺のメールには、悪意のあるリンクや添付ファイルが含まれていることもあります。これらをクリックすると、なりすましサイトにリダイレクトされたり、端末がマルウェアに感染したりします。マルウェアとは、悪意のあるソフトウェアの一種で、気づかないうちに自分のデバイスにインストールされます。このようなソフトウェアがインストールされると、マルウェアによっては、デバイスのすべてのキーストロークを記録したり(キーロガー)、すべての機密データを盗み取ったり(スパイウェア)します。
フィッシング攻撃の例
フィッシング攻撃から身を守る方法
以下の手順を実行すれば、フィッシング攻撃から身を守ることができます。
● 不明なリンクや添付ファイルはクリックしない:不明なリンクや添付ファイルをクリックすると、デバイスがマルウェアに感染し、機密データがすべて盗まれる危険性があります。不明なリンクはクリックする前に、リンクをマウスオーバーするか、URL チェッカーを使ってリンクの安全を確認します。
● パスワードマネージャーを使う:パスワードマネージャーは、パスワードなどの機密データの生成、安全な保存、管理を支援するツールです。このツールは、サイバー攻撃からメールアカウントを守るのに役立つだけでなく、フィッシング攻撃サイトを警告する機能も備えています。この機能が有効な状態で、リダイレクトされたサイトに保存したはずのログイン情報がなければ、そのサイトは本物ではなく偽のフィッシングサイトであることを意味しています。
● 多要素認証(MFA)を有効にする:MFA は、アカウントに追加可能なセキュリティレイヤーで、セキュリティの専門家はこれを有効にすることを強く推奨しています。MFA を有効にすれば、脅威アクターがアカウントへのログインを試みる際にパスワード以外の本人確認が必要となるため、万が一フィッシング詐欺に遭ったとしても身を守ることができます。
● ウイルス対策ソフトウェアをダウンロードする:ウイルス対策ソフトウェアは、デバイスに仕込まれたマルウェアなどのウイルスを検出、分離、削除できるソフトウェアの一種です。ウイルス対策ソフトウェアの中には、メールをスキャンしてマルウェアを検知できるものもあり、メールフィッシング攻撃から身を守るのに役立ちます。
スミッシングとは?
スミッシングとは、SMS フィッシングとも呼ばれ、ショートメッセージを介して行われるフィッシング攻撃の一種です。スミッシングには、フィッシングメールと同様に、緊急を装い、すぐに対応を迫るような内容が含まれています。この種のフィッシング攻撃では、通常、悪意のあるリンクを使い、実際にアカウントがあるサイトのなりすましサイトにターゲットをリダイレクトさせます。ターゲットがサイトを本物だと信じていつも通りログインすると、脅威アクターは、ターゲットの認証情報を入手し、それを使って本物のアカウントに不正アクセスできるようになります。
スミッシングの例
スミッシングから身を守る方法
スミッシング攻撃から身を守る方法は、他のタイプのフィッシング攻撃から身を守る方法と似ています。ただし、スミッシングから身を守るには以下に示すような追加の予防策が必要です。
● 個人情報の提供要求には応じない:スミッシングやその他のフィッシング攻撃による詐欺の手口は、悪意のあるリンクや添付ファイルを送り付けることだけではありません。警戒すべきもう一つの一般的な手口は、個人情報の提供を要求することです。アカウントがある企業を装った脅威アクターは、個人情報を細かく質問することがあります。この要望に応じると、アカウントが不正アクセスされ、個人情報が盗まれる恐れがあります。
● 会社のウェブサイトには自分でアクセスする:アカウントがある銀行や会社を名乗るメッセージを受け取ったら、自分で正規のウェブサイトにアクセスします。そうすれば、なりすましサイトの不審なリンクをクリックすることなく、会社の本物のウェブサイトに確実にアクセスできます。送られたメッセージについてその会社に問い合わせたい場合は、会社の正規のウェブサイトに載っている電話番号に電話をかけるのが最も安全です。
● 電話番号をブロックする:受信したショートメッセージをフィッシング攻撃と判断した場合は、その電話番号からの着信を拒否することをお勧めします。こうすれば、その番号があなたに再びフィッシングメッセージを送ることはできなくなります。
ビッシングとは?
ビッシングもフィッシング攻撃の一種ですが、メールやテキストではなく、音声通話を介して行われます。相手の声を聴くと脅威アクターの説得力が増すため、多くの人がこの種のフィッシング攻撃に騙される傾向にあります。この種のフィッシング攻撃としての主な行動としては、ターゲットのクレジットカード番号や社会保障番号などの機密情報を本人に開示させようとします。脅威アクターは盗んだ情報を利用して、標的型サイバー攻撃を実行したり、金銭や個人情報を盗み取ったりします。
ビッシングの例
ビッシングから身を守る方法
ビッシング攻撃から身を守るには、ここまで説明してきたフィッシングとスミッシングから身を守る方法を実践する必要があります。その上で、以下に示すビッシング攻撃から身を守るために必要な追加の予防策も講じる必要があります。
● 知らない番号からの電話には出ない:ビッシング攻撃から身を守る最善の方法一つは、知らない番号からの電話には出ないことです。可能な限り、電話帳に登録された番号からの電話にのみ出るようにします。
● 着信拒否サービスを利用する:着信拒否サービスを利用すれば、詐欺師からの着信を防ぐことができます。AT&T や T-Mobileといった電話会社は、電話プランに追加できる着信拒否サービスを提供しています。着信拒否サービスは詐欺電話を完全には防ぐことはできませんが、その大半を防げるため、ビッシング攻撃から身を守るのに役立ちます。
● AI によるなりすまし攻撃に注意する:人工知能(AI)技術の発達に伴い、最近のビッシング攻撃は、より巧妙で本物に近くなっています。AI は音声データを基に実在する人の声を真似ることができます。脅威アクターはこの技術を使って、ターゲットの知人になりすまします。例えば、脅威アクターは、ビッシングと AI を使ってターゲットの家族になりすまし、重要なアカウントのログイン情報を忘れたと伝え、情報を騙し取ります。この詐欺に引っかかると、盗まれたアカウントだけでなく、その他のアカウントにも危険が及ぶ可能性があります。
まとめ:フィッシング、スミッシング、ビッシングから身を守ろう
フィッシング、スミッシング、ビッシングは依然として最も一般的に見られる脅威の一つであり、その手口は年々巧妙化しています。その仕組みや身を守るための対策を理解しておくことは、自分と自分のデータを守る上で非常に有効です。
フィッシング攻撃を見破れるようになることは重要ですが、誤ってフィッシング詐欺に引っかかることもあり得ます。そのような事態になっても被害を最小限に抑えられるように、強力かつユニークなパスワードで、アカウントを確実に保護しておく必要があります。パスワードマネージャーはすべてのアカウントに強力なパスワードを作成し、記憶しておく上でとても役に立ちます。また、パスワードマネージャーは、認識できないサイトではパスワードを自動入力しません。そのため、なりすましサイトを検知できるという追加のメリットもあります。
Keeperパスワードマネージャーの 30 日間無料トライアルを開始して、一般的なフィッシングの脅威からアカウントを保護しましょう。