フィッシング攻撃とは、被害者をだまして攻撃者に利益をもたらすアクションを取らせるようにする手法です。こうした攻撃には、単純なものから複雑なものまであり、正しく認識することで見抜くことができます。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
「フィッシング」とは、通常、盗んだ情報を悪用または販売するために、ユーザー名、パスワード、クレジットカード番号、銀行口座情報、ほかの重要なデータなどの機密情報を盗もうとすることを意味します。漁師が餌を使って魚を釣るように、魅力的な文言を用いて信頼できる情報源を装って、攻撃者は被害者をだまそうとします。
フィッシングの最も一般的な例は、オンパス攻撃やクロスサイトスクリプティング攻撃のような、ほかの悪意のあるアクションをサポートするのに使用されることです。通常、そうした攻撃は、メールやショートメッセージを介して実行され、いくつかのカテゴリーに分類できます。見抜けるように、フィッシング攻撃のいくつかのベクトルを知っておくことを推奨します。
この一般的なメールフィッシング攻撃は、「ナイジェリアの王子」メールによって広く知られるようになりました。ナイジェリアの王子と名乗る人物が自らの貧困や困窮を訴えたうえで、お礼を渡したいのだが自国では安易に動かせない財産を相手の口座に移し替えるには手数料が必要だと言います。当然のことながら、手数料を支払っても、お礼と称する大金は届きません。興味深いのは、こうしたタイプの詐欺が100年以上にわたってさまざまな形で発生していることです。この手の詐欺の原型として、19世紀の「スペインの囚人」詐欺があります。詐欺師は、人違いのために囚われの身になっている裕福な囚人の代理人を装って、身分証明と保釈のためのお金を出してほしいともちかけて、莫大な財産から金銭的なお礼を約束します。詐欺師は被害者(カモ)の強欲と共感という感情につけこむのです。
こうした攻撃のリスクは、(形態を問わず)金品を受領するために費用を前払いすることを求める見知らぬ人からの要求に応えないことで軽減できます。うますぎる話や出来過ぎた話は詐欺の可能性が高いです。多くの場合要求内容や文面の一部をGoogleで検索すれば、詐欺の内容がわかります。
被害者に重要なアカウントが削除されると信じ込ませて切迫感を与えることで、攻撃者は被害者をだましてログイン認証情報といった重要な情報を不正に入手しようとします。一例を紹介します。攻撃者が銀行などの金融機関を装ってメールを送り付け、銀行口座が侵害されたので今すぐ措置を講じないと口座が凍結されると主張します。そして口座の凍結を防ぐために必要だと偽って、被害者の銀行口座のログインIDとパスワードを要求します。より巧妙な攻撃では、情報を入力すると、正当な銀行のホームページに誘導されるため、何も問題がないように見えるのです。
こうした攻撃への対策としては、問題のサービス提供業者(上記の例では銀行)のホームページに直接移動して、口座やアカウントが本当に凍結されるような状態になっているかを確認することです。また、アドレスバーをチェックして、そのWebサイトが安全かどうかを確認するのも良い方法です。ログインIDやパスワードを要求する安全でないWebサイトは怪しいと疑うべきであり、ほぼ例外なく使用すべきではありません。
このタイプの詐欺は、アカウント削除詐欺のようなほかの詐欺と組み合わせることが多いです。この攻撃では、攻撃者は被害者が利用する銀行などの企業の本物のWebサイトとほとんど同じに見えるWebサイトを模造します。フィッシングメール、フォーラム内のハイパーリンク、検索エンジンなどを通じて、被害者がそのページを訪問すると、本物そっくりの偽物のWebサイトが表示されます。攻撃者は入力された情報を転売したり悪用したりします。
インターネットの黎明期には、こうした模造ページは雑なつくりであったため比較的簡単に見抜くことができました。現在の不正サイトは、本物そっくりで完璧にみえるかもしれません。WebブラウザーでURLをチェックすることで、多くの場合不正を簡単に見抜くことができます。URLが通常のものと異なる場合は、怪しいと疑うべきです。そのサイトがHTTPS経由でなく安全でないと表示された場合は、警戒すべきであり、恐らく破損しているサイトであるかフィッシング攻撃サイトであるかのいずれかです。
このタイプのフィッシングは、特定の個人や団体を標的としたものであることからスピアフィッシング(魚突き)と呼ばれています。特定の標的に関する詳細情報や購入情報を収集することで、攻撃者は特化した詐欺を仕掛けることができます。現在ではこのタイプが最も効果的なフィッシングであり、フィッシング攻撃全体の90%以上を占めます。
クローンフィッシングとは、被害者をだまして悪意のあるWebサイトやファイルを開くようにさせるために、以前に送信された正規のメールを模造して、リンクや添付ファイルを変えるものです。たとえば、元の添付ファイルと同じファイル名を持つ悪意のあるファイルをメールに添付してから、模倣したメールアドレスを使用してメールを再送信することで、元の送信者から送付されているように見せかけます。攻撃者は、元のメールの信頼性を悪用して、被害者に行動を起こすよう促します。
企業内の経営幹部や特権ユーザーに向けられる攻撃については、「ホエーリング」という用語が使われることが多いです。通常、こうした攻撃は、召喚状やほかの行政命令のような被害者の対応を要する可能性のあるコンテンツを標的にします。
このスタイルの攻撃のもう1つの一般的な手法が会社の幹部になりすますホエーリングです。一般的な例は、CEOが財務部門の担当者にメールを送付して、緊急の送金を依頼するものです。攻撃者にだまされた下位レベルの従業員は、上層部からの重要な依頼だと思い込んで依頼の信ぴょう性を確認しないまま、大金を攻撃者に送金してしまいます。
フィッシングは、様々な攻撃ベクトルから発生する可能性がありますが、その中でも最も大きなものの一つに電子メールがあります。多くのメールプロバイダーは、フィッシングメールを自動的にブロックしようとしますが、それでもユーザーに届いてしまうことがあるため、メールセキュリティは重要な関心事となっています。
Cloudflare Email Securityは、インターネットをクロールしてフィッシングインフラを調査し、フィッシング活動を事前に特定する、高度なフィッシング対策を提供しています。Cloudflare Email Securityの仕組みはこちらをご覧ください。
利用開始
アクセス管理について
ゼロトラストについて
VPNリソース
用語集