フィッシング対策総合ガイド

ブログ

進化するサイバー脅威から組織を守る包括的なフィッシング対策をご覧ください。安全性を維持するための戦略、ツール、ベストプラクティスを学びます。

byMilena Baghdasaryan

読書時間 6
フィッシング対策総合ガイド
目次-

フィッシングとは、犯罪者が信頼できるエンティティになりすまして情報やデータを盗むサイバー攻撃のことです。この種の攻撃はより巧妙で、企業に金銭的損害を与えることが知られている。2024 Verizon Data Breach Investigations Reportによると、フィッシングはデータ侵害の36%を占めている。 IBMは、フィッシング攻撃の平均コストを4,490万ドルと見積もっており、この数字はサイバー犯罪の中でも最も高額であることが知られている。

数多くのメールボックス・プロバイダーや規制機関が、フィッシング対策やプロアクティブな防御メカニズムにますます注目している。ペイメントカード業界データセキュリティ基準(PCI DSS)v4.0にフィッシング対策の要件が盛り込まれた。この動きは、世界的な決済セキュリティの変化を強調するものであり、国境を越えた顧客の信頼とデータ保護を強化するための世界的なKYC規制と密接に連携している。

主なポイント

  • フィッシング対策は、PCI DSS v4.0のような多くの規制機関や基準において、今や必須要件となっている。
  • フィッシング対策を効果的に実施することで、財務リスク、風評リスク、規制リスクを最小限に抑えることができる。 
  • 主なフィッシング対策としては、従業員へのトレーニング、技術的なセーフガードの使用、電子メールの認証などがある。 
  • AIはフィッシング攻撃に対する防御において、ますます重要な役割を果たしている。

フィッシングを理解する 

フィッシングとは、ハッカーが被害者を騙して機密情報を提供させるサイバー攻撃のことである。フィッシングは、電子メール、テキストメッセージ、電話、その他の通信手段を通じて行われる。 

一般的なフィッシングの手法には、電子メール詐欺、偽のウェブサイト、SMSフィッシング、音声フィッシングなどがある。

電子メール詐欺

フィッシング攻撃のほとんどは電子メールで行われる。電子メールによるフィッシング攻撃では、ハッカーはしばしば次のような偽ドメインを登録する。 を登録することが多い。ハッカーは、受信者をだますために、文字の置換、類似したドメイン名、または同じドメインのなりすましを使用することがあります。

偽サイト 

もう1つの一般的なフィッシング手法は、偽のウェブサイトを利用することです。ハッカーはこれらのウェブサイトを利用して、正規のウェブサイトにアクセスするために必要なログイン認証情報を盗み出します。ハッカーは、合法的に見えるドメイン名から電子メールを送信しますが、実際は偽物です。メールには悪意のあるリンクが含まれています。被害者がこのリンクをクリックすると、ログインページに移動し、ログイン情報やパスワード情報などの機密情報の入力を求められます。 

SMSフィッシング 

SMSフィッシング(スミッシングとも呼ばれる)は、ハッカーが偽の携帯メールメッセージを送り、受信者を欺いてマルウェアをダウンロードさせたり、金銭を送金させたり、機密情報を提供させたりする一般的なソーシャルエンジニアリング攻撃である。 

音声フィッシング 

ボイス・フィッシング(ヴィッシングとも呼ばれる)とは、攻撃者が電話を利用して機密情報を入手することである。ヴィッシングが他のフィッシングと異なる点は、ハッカーが自然言語で被害者とコミュニケーションをとる点である。 

フィッシング対策とは?

フィッシング対策には、フィッシング攻撃からユーザーを守ることを目的とした戦略、技術、テクニックが含まれる。フィッシング対策は、様々なタイプのフィッシングを検知、ブロック、軽減するように設計されており、同時に技術的、非技術的なコミュニティの認識を高める。

現在のフィッシング脅威の状況

フィッシングとは、犯罪者がログイン情報、支払い情報、個人情報などの機密情報を受け取るために使用するサイバー攻撃手法です。攻撃業者には以下のようなものがあります:

  • 電子メールフィッシング:信頼できるブランド」からの偽メールとして知られている。
  • スピアフィッシング: 個人情報を利用した標的型攻撃。
  • スミッシングとビッシング: これらはSMSや音声によるフィッシング攻撃として知られている。
  • クローンフィッシング: 悪意のあるリンクを含む正規の電子メールを複製すること。

フィッシングはeコマース・ビジネスにおいて世界的な課題となっている。英国の情報コミッショナー事務所によると 英国情報コミッショナー事務所によると、79%の企業が昨年フィッシング攻撃を経験したと報告しており、サイバーセキュリティに対する意識の必要性が浮き彫りになっています。国境を越えてビジネスが拡大する中 グローバルKYC規制フィッシング攻撃はこのコンプライアンスを侵害し、企業を財務的リスクにさらす可能性があるためです。

フィッシング対策の実装はもはやオプションではなく、要件となっている。例えば、PCI DSS v4.0では要件5.4の中で、エンティティはフィッシング攻撃を検出して対応することができるとして、プロアクティブな防御策を提供するようになりました。この変更は 決済環境この変更は、技術的な管理とユーザーの意識の両方を必要とする決済環境の安全確保に役立ちます。

フィッシング対策が重要な理由

  • 財務リスク:ランサムウェアの平均支払額は150万ドルで、フィッシングによって支払われることが多い(Sophos、2024年)。
  • 風評被害: 60%以上の顧客が、データ漏洩によって企業への信頼を失う可能性がある。
  • 規制の圧力: GDPR、HIPAA、グローバルKYCなどのコンプライアンスは、より強力なフィッシング対策のフレームワークを要求している。

この新しい要件は、コンプライアンス・チェックリストにこれらのフィッシング防止策を盛り込むことで、潜在的なデータ損失やサイバー攻撃を減らすための適切な保護対策を実施するよう企業に促している。 

フィッシング対策の中核 

企業は、技術的なツール、行動の変化、組織的なポリシーと連動したフィッシング対策アプローチを採用することが推奨される。ここでは、いくつかの対策を紹介する:

テクニカル・メソッド 

技術的な方法としては、電子メールフィルター、DNSフィルター、電子メール認証などがある。 

1.技術的セーフガード

自動化されたシステムは、あらゆるタイプのフィッシング攻撃がユーザーやオンラインシステムに到達する前にブロックすることができる。 

  • メールフィルタリング: AIを搭載したメールシステムを使用して、あらゆるタイプの不審なメッセージを検出して隔離します。
  • 多要素認証(MFA): アプリベース(Google Authenticator)やハードウェアトークン(YubiKey)など、すべての機密システムにMFAを義務付ける。
  • パッチ管理: ゼロデイ脅威を優先し、脆弱性を修正するためにシステムを確実に更新する。

2.電子メール認証プロトコル

なりすましを防止し、送信者の完全性を強化するために、以下の標準を導入する:

  • SPF(SenderPolicy Framework): ドメインのメール送信を許可されたIPアドレスを検証するのに役立つ。
  • DKIM(DomainKeysIdentified Mail): メッセージの真正性を確認するための暗号署名を追加します。
  • DMARC(Domain-basedMessage Authentication, Reporting & Conformance): SPFとDKIMのデータを使用し、認証されていないメッセージの拒否を強制する。

行動メソッド

一般的な行動方法には、従業員研修や報告プロトコルなどがある。 

1.従業員のトレーニングと意識向上

フィッシングは人間を標的にする可能性があるため、チームは防御の第一線について学ぶ必要がある:

  • フィッシング・テストを刺激する: KnowBe4やProofpointなどのプラットフォームを使用して、四半期ごとにキャンペーンを実施する。
  • ワークショップ 従業員やチームに対し、作業環境における危険信号、不審なリンク、なりすましアドレスなどを発見する方法を教える。
  • 検証する: 予期せぬ通信を確認するよう従業員に促し、Outlookの「フィッシング報告」ボタンなど、信頼できる報告ツールを利用する。

2.報告プロトコル(例:Outlookの「フィッシング報告」ボタン)

GmailやOutlookなど、大半のメールプロバイダーには、ハッカーが何千人もの被害者を出す前にフィッシングを報告するためのレポート機能が組み込まれています。これは、Outlookの "Report Phishing "ボタンを使ったり、疑わしいパターンや行動を組織のITチームに報告したりするのと同じくらい簡単なことかもしれない。また、フィッシング・シミュレーションやワークショップに参加することで、履歴書に実務経験として記載できる実践的なスキルを身につけることができる。

高度な検出とAIの統合

攻撃者が戦略を進化させている今、防御も進化しなければならない。新しいツールは、AI、機械学習、リアルタイム検知を活用し、より効果的にフィッシングを検知、ブロックする。 

機械学習と行動分析

Darktraceのようなプラットフォームは、ユーザーの行動を分析し、ログイン時間や不審な電子メールの転送などの異常を検出するのに役立ちます。 

リアルタイム検出

グーグルのTensorFlowは現在、Gmailが毎日何十億通ものメールをスキャンし、数秒以内に悪意のあるリンクや添付ファイルにフラグを立てるのに役立っている。 

ビジュアル・フォレンジックとメタデータ・フォレンジック

  • メールヘッダの分析 From "アドレス、不一致への返信、リダイレクトチェーンを確認します。
  • ユーザー行動監視: 不正ダウンロードのフラグを立てたり、奇妙なパターンや急速なファイル移動を調べたりします。

脅威インテリジェンスの共有

情報共有分析センター(ISAC)やMISPのようなプラットフォームに参加し、フィッシングの指標となる情報を提供し、防御の改善に役立てる。 

ケーススタディMGMリゾーツ(2023年)

2023年 MGMリゾートが危険なフィッシング・ベースの侵害攻撃を受けた。ハッカーはソーシャル・エンジニアリングを利用してファイルや情報への内部アクセスを獲得し、ランサムウェアを展開した。その結果は?

MGMリゾートは1週間のダウンタイム、サービス停止、1億ドルの損失を経験した。 

学んだこと

  • 従業員トレーニングやMFAが不足していたため、従業員やシステムが知識不足のために脆弱になっていた。 
  • DMARCとモニタリングがあれば、悪意のある行為やアクセスにもっと早く気づくことができたはずだ。
  • 包括的なフィッシング対策ツールがあれば、最初の侵害を防ぐことができたかもしれない。 

最後の言葉

フィッシングは単なる迷惑行為ではなく、金融データ、評判、規制コンプライアンスに対する高レベルの脅威である。PCI DSS v4.0やその他のグローバルなコンプライアンス要件にフィッシング対策が盛り込まれたことは、企業がセキュリティ態勢を積極的に維持する必要性を反映している。 

従業員トレーニング、技術的防御、グローバルな脅威インテリジェンスを組み合わせることで、企業は適切なコンプライアンス基準を満たし、安全な決済および給与支払いインフラを構築するための意識を維持することができます。 給与インフラ.

セキュリティは重要な側面であり、フィッシングの手口が増加する中、継続的な警戒と適応が唯一の方法である。

CTA

最新記事 by Milena Baghdasaryan(全て見る)
なりすましメールとは?RFC 5322DKIMドメインのアライメントの失敗 - RFC 5322による修正