メールを使ったフィッシング攻撃の仕組み
フィッシングは、攻撃者が真のアイデンティティを隠して被害者を騙し、攻撃者が望む行動を完了するよう仕向けるサイバー攻撃です。フィッシング攻撃ではよくメールを使い、れっきとした金融機関や雇用主など信頼できるソースから来たメッセージであると標的に思いこませます。メッセージが正当なものに見えるため、ユーザーは貴重なアカウントデータを渡したり、メール内でカモフラージュ(通常は添付ファイルまたはリンクの体裁)されたマルウェアに触れたりしがちになるかもしれません。
フィッシングの手口には、何らかの形でアカウント情報が漏れたと言って嘘のパスワードの再設定依頼をしたり、偽のギフトカードなど金銭的報酬を提示して受信者から直接情報を収集しようとするものがあります。その他のフィッシングメールの手口には、添付ファイルやメール本文中のリンクにマルウェアが仕込まれていて、ユーザーがこれに反応してしまうと、他のデバイスやネットワークに感染してしまう可能性があります。
成功すれば、攻撃者はユーザー資格情報を盗んでネットワークに侵入し、データ窃盗を犯したり、被害者に対してもっと酷い仕打ち(ランサムウェア攻撃を仕掛けるなど)をしたりすることができます。
フィッシング攻撃の手口について、詳しくはフィッシング攻撃とは?をご覧ください。
フィッシング攻撃の見極め方
フィッシングメールは、正当な個人や組織を真似たデザインになっているため、パッと見ただけで識別するのは難しいかもしれません。以下に、よくある兆候をいくつか挙げます。
- メールがSPF、DKIM、DMARCのチェックで不合格 3種のDNSレコード — Sender Policy Framework(SPF)、DomainKeys Identified Mail(DKIM)、Domain-based Message Authentication Reporting and Conformance(DMARC) — が、メールの出所の認証に使われます。これらのチェックで1つ以上不合格があると、そのメールメッセージは通常スパムとしてマークされ、意図した受信者へ配信されません。そのため、正当なメールがスパムフォルダーに入ることはあまりありません。
- 送信者のメールアドレスが正当なドメイン名と無関連 ドメインは、メールの送信者とされる組織の名前と一致するはずです。たとえば、Legitimate Internet Companyからのメールであれば、アドレスはすべて “employee@legitinternetcompany.com”という形式になっているのに対し、偽メールは似たような響きのアドレス(“employee@legitinternetco.com”など)から送られて来るといった具合です。
- 名前の代わりに汎用の挨拶文を使用 「お客様」、「アカウント保持者」、「親愛なる」といった言葉は、メールが正当な送信者から送られた個人宛メッセージではなく、フィッシング攻撃で大量送信されたものだというしるしかもしれません。
- 期限設定、らしからぬ切迫感 フィッシングメールはよく、ユーザーが行動するよう説得するために虚偽の切迫感を醸成します。たとえば、ユーザーが24時間以内に反応すればギフトカードを送ると約束したり、パスワードを更新しなければデータ漏えいが起こると言ったりするのです。そうした手口は、あくまでユーザーが怪しむ前に行動をとるよう圧力をかけることを意図したもので、実際の締切や結果と結びついていることは稀です。
- 本文メッセージが間違いだらけ 文法や綴りの間違い、おかしな構文は、メールが信頼できるソースからのものでないことを物語っています。
- 本文メッセージ中のリンクが送信者のドメインと不一致 正当な依頼なら、送信者のドメインと異なるWebサイトへユーザーを誘導したりしません。逆に、フィッシングメールはしばしば悪意あるサイトへリダイレクトしたり、メール本文中の悪意あるリンクの偽装を行ったりします。
- 送信者のWebサイトへのリンクで行動喚起 正当なWebサイトへのリンクに見えても、被害者を悪意あるサイトへリダイレクトしたり、マルウェアのダウンロードをトリガーする場合があります。信頼のおける組織が、リンクをクリックして機密情報(クレジットカード番号など)を開示するようユーザーに依頼することはまずありません。*
一般的に、フィッシング攻撃の手口が高度になるほど、上記の兆候がメールに表れることは少なくなります。たとえば、フィッシングメールの中には有名企業のロゴやグラフィックスを用いてメッセージを正当に見せるものもありますし、本文フィールド全体を悪意あるハイパーリンクとしてコーディングする攻撃者もいます。
*この一般則の例外として、パスワード更新依頼やアカウント確認依頼が考えられます。ただし、こうしたタイプの依頼に見せかけるフィッシングもありますから、何かをクリックする前に送信者のメールアドレスをダブルチェックするのが賢明です。*
フィッシング攻撃の防止策
いかなる種類の迷惑メール(「スパム」と呼ばれることが多い)についても言えることですが、フィッシングメールはセキュリティツールやフィルタリングサービスで完全に排除することはできません。ただ、攻撃の成功率を下げるためにユーザーがとれる対策はいくつかあります。
- メールに不審な要素がないかチェックする メールヘッダーに引っ掛かりそうな送信者名やメールアドレスがあるかもしれませんし、本文には悪意あるコードをカモフラージュした添付ファイルやリンクが含まれているかもしれません。ユーザーは、見慣れない送信者からのメッセージを開封する際は、用心に越したことはありません。
- 個人情報を共有しない 信頼している人とのやりとりでも、個人情報(社会保険番号、銀行口座情報、パスワードなど)をメール本文に書いてはいけません。
- スパムをブロックする メールクライアントにはたいがいスパムフィルターが組み込まれていますが、サードパーティのフィルタリングサービスを利用すれば、さらにきめ細やかなメール管理が可能です。この他、メールスパムを避けるための推奨事項としては、メーリングリストの登録を解除する、スパムメールの開封を拒否する、メールアドレスを秘密にする(組織の外部向けWebサイトに掲載しない)などがあります。
- メールセキュリティプロトコルを使う SPFレコード、DKIMレコード、DMARCレコードといったメール認証手段を使えば、メールの出所を確認しやすくなります。ドメイン所有者がこれらのレコードを作成することで、攻撃者はそのドメインになりすましてドメインスプーフィングしにくくなります。
- ブラウザ分離サービスを実行する ブラウザ分離サービスは、ブラウザコードを分離してクラウドで実行することにより、Webベースのメールクライアント経由で届いたマルウェアを仕込んだ添付ファイルやリンクを、ユーザーがトリガーしないよう保護します。
- セキュアWebゲートウェイで有害トラフィックを除去する セキュアWebゲートウェイ(SWG)はデータやネットワークトラフィックに既知のマルウェアがないか検査し、あらかじめ定められたセキュリティポリシーに従って、受信リクエストをブロックします。ユーザーがファイル(フィッシングメールに添付されているようなファイル)をダウンロードしたり、機密データを共有したりしないように設定することもできます。
- メッセージについて送信者に確認する それでもメールメッセージがやはり怪しければ、それが正当な個人または組織から送られてきたことを別途確認する必要があるかもしれません。確認の方法は、電話やテキストメッセージなどいくつかあります。疑わしい時は、要求された機密情報をもっと安全に送る方法はないか、送信者に尋ねましょう。
Cloudflareはフィッシング攻撃をどのように防御するのか?
Cloudflare Email Securityは、フィッシング攻撃をリアルタイムで検知し、ブロックします。インターネットを事前予防的にスキャンして攻撃インフラや攻撃キャンペーンを探し、メール詐欺を見つけて、安全性が損なわれたアカウントやドメインを可視化します。
Cloudflare Email Securityでフィッシング攻撃からの保護方法を学びましょう。