フィッシング・ウェブサイトは、正規のウェブサイトを少し変えたり、スペルを間違えたりした、まやかしのURLを持っていることがよくあります。また、デザインの質が低かったり、異常なポップアップやリダイレクトが表示されることもあります。パスワードやクレジットカード情報などの機密情報の要求や、見慣れないリンクをクリックするよう求める迷惑メールに注意することで、こうした悪質なウェブサイトを見分けることができます。
フィッシング・サイトとは?
フィッシング・サイトとは、合法的なサイトに似せて作られた、ユーザーを欺き個人情報を漏らすことを目的とした欺瞞的なオンライン・プラットフォームのことである。
驚くべき統計によると、従業員の53%がフィッシングメールの被害に遭っている。 フィッシングメールデータを入力したケースは23%であったが、このようなシミュレーションをセキュリティに報告したのはわずか7%であった。
ウェブサイトのフィッシングによるデータ漏えいは、ますます高額になりつつある。 (IBMの推定では平均435万ドル)。フィッシングの手口を理解することは不可欠である。
フィッシングの仕組み
- 詐欺師は、本物そっくりの偽のウェブサイトを作成します。また、電子メールや電話のようなソーシャル・エンジニアリングのテクニックを使って、自分たちが合法であると信じ込ませることもある。
- 詐欺師は、信頼できる人物(ITサポート担当者など)になりすましたり、脅しの手口(アカウントがハッキングされたと伝えるなど)を使ったりして、ログイン認証情報やその他の機密情報を提供するよう人々をだます。
- この情報を使って、詐欺師はあなたのアカウントにアクセスし、お金や個人データ、パスワードを盗むことができる。
フィッシング・サイトの見分け方
ウェブサイトのフィッシング詐欺を避ける最善の方法は、その兆候を認識し、見分ける方法を知っておくことです。
以下は、フィッシング・ウェブサイトを見分けるいくつかの方法です:
ドメイン分析
あるウェブサイトへの訪問を促すメールを見たら、まずそのドメイン名を確認することだ。
例えば、"paypal.com "にサインインするよう求めるメールを受け取ったとします。 "paypal.com "にサインインしてください。にサインインするようメールが届いたとします。 「paypal-update.com」。それはおそらくPayPalの本当のウェブサイトではありません。
関連記事を読む ドメイン・レピュテーション・チェック
証明書の透明性ログ分析
フィッシング・ウェブサイトを検知する一つの方法は、SSL証明書をCertificate Transparencyのログと比較することである。
Certificate Transparency (CT)は、特定のCAまたはルート認証局(CA)が発行したすべてのSSL証明書(格安SSL証明書を含む)を見ることができます。また、これらの証明書がいつ発行されたのか、誰が要求したのか、どこで使用されたのかを確認することができます。
HTMLとJavaScriptのコード検査
攻撃者は、元のサイトからHTMLとJavaScriptのコードをすべてコピーすることで、フィッシング・ウェブサイトを本物と同じように見せようとするかもしれない。
FirebugやChrome Developer Toolsなどのウェブインスペクターツールを使って、ページのHTMLやJavaScriptコードを視覚的に検査し、オリジナルサイトとの違いをチェックすることができます。
URLの評判チェック
グーグルなどの検索エンジンは、既知の悪質なURLのブロックリストを持っており、これらのサイトへのアクセスを自動的にブロックする。
ブラウザのアドレスバーにこのようなURLが表示されたら、誰かがあなたの銀行や、グーグルがすでに知っている悪質なURLを持つ他の企業になりすまそうとしている可能性がある。
関連記事 URLフィッシングとは?
フィッシング検知のための機械学習と人工知能(AI)モデル
高度な機械学習アルゴリズムとAIモデルを活用するこれらの技術は、URL構造、コンテンツ、画像、行動パターンなど、ウェブサイトのさまざまな特徴を分析し、フィッシングの可能性を特定する。
これらのモデルは、パターンや過去のデータから学習することで、不審なウェブサイトを効果的に検出し、フラグを立てることができる。
コンテンツ分析と自然言語処理(NLP)によるテキスト手がかりの分析
自然言語処理技術を用いて、この方法はウェブサイト上のテキスト・コンテンツを調査し、フィッシングの指標を特定する。
コンテンツの言語、文法、セマンティクスを分析することで、NLPアルゴリズムは疑わしいパターン、文法の間違い、フィッシングを示唆するような誤解を招く情報を検出することができる。
DNSとIPレピュテーション分析
ほとんどのフィッシング・ウェブサイトは、ホスティング・プロバイダーやISPによって禁止されている様々なIPアドレスからIPアドレスを使用している。
したがって、見知らぬドメイン名からサイトにアクセスし、そのIPアドレスがこのような範囲にある場合、フィッシング・サイトである可能性が高い。
ソーシャル・エンジニアリングの手口分析
フィッシングメールは、通常、いくつかの ソーシャル・エンジニアリングが含まれています。
例えば、誤字脱字や文法的な間違いがあるかもしれず、細部に注意を払う必要のあるユーザーにとっては簡単に見落としてしまう可能性があります。受信したメールは必ず確認してから行動するようにしましょう。
電子メールのヘッダーとメタデータの分析
電子メールのヘッダーは、電子メールがいつ受信トレイで送受信されたか、どのような接続が使用されたか(例えば、GmailやYahoo!メールなどのウェブメールサービスでは、電子メールがウェブブラウザから来たのか、モバイルデバイスから来たのかを明らかにします)に関する有益な情報を提供します。
メタデータには、受信トレイでメッセージを見るときには表示されない、添付ファイルなどのEメールメッセージに関する追加情報が含まれます。
続きを読む メールのヘッダーを読むには?
ユーザーエージェント解析とデバイスフィンガープリント
フィッシング・ウェブサイトを特定する最も簡単な方法の一つは、ユーザー・エージェント・リクエスト・ヘッダーを見ることである。このヘッダーには、オペレーティング・システムやブラウザーの種類など、サイトを訪れた際に使用されたデバイスに関する情報が含まれている。
この情報が、あなたの組織のウェブサイトで期待されるものと一致しない場合(または、ユーザーエージェントヘッダがまったくない場合)、本物のサイトの偽バージョンを訪問している可能性があります。ユーザーエージェントについて、詳しくはこちらをご覧ください。
ウェブサイトのハニーポットとフィッシング・シンクホール
ウェブサイトのハニーポットは、フィッシング攻撃の潜在的な被害者をおびき寄せるために設計された偽のウェブサイトです。フィッシング・シンクホールは、ネットワーク内の疑わしい活動を分析するためのもう一つの便利なツールです。
これらのツールを使えば、特定のサイトとやりとりしているユーザーの数を見ることができ、そのサイトが合法的なものかどうかを判断するのに役立ちます。
視覚的類似性比較技術
フィッシング・サイトを見分ける一つの方法は、そのデザインを他の既知のサイトと比較することです。例えば、PayPalからクレジットカード番号やパスワードなどの個人情報を尋ねるメールが届いたとします。
しかし、そのメールはPayPalが送るようなものには見えません。フィッシングの可能性があります。このテクニックは、サイトを利用した経験がある場合に最も効果的です。
フィッシングサイトのチェック方法
フィッシングサイトのチェックは、様々な方法やツールを使って行うことができます。ここでは、フィッシングの可能性のあるウェブサイトを特定するための手順をいくつかご紹介します:
ウェブサイトの正当性を確認する
ウェブサイトのURLとドメイン名をチェックする。偽サイトの可能性がある不審なバリエーションやスペルミスを探してください。例えば、「google.com」ではなく「g00gle.com」など。また、ブラウザのアドレスバーにある南京錠のアイコンを見て、ウェブサイトが安全な接続(HTTPS)であることを確認する。
ウェブサイトのデザインとコンテンツを吟味する
フィッシング・ウェブサイトは、正規のウェブサイトのデザインやレイアウトを模倣していることがよくありますが、微妙な違いがある場合もあります。文法の不備、スペルミス、書式の異常などはフィッシングの可能性がありますので、注意してください。
迷惑メールやリンクに注意
ウェブサイトへのリンクが記載された電子メールやメッセージを受け取った場合は、注意してください。フィッシング攻撃は、悪意のあるウェブサイトを訪問させようとする詐欺的な電子メールを含むことがよくあります。不審なリンクをクリックするのは避け、クリックする前にカーソルを合わせてリンク先のURLを確認しましょう。
フィッシング・ウェブサイトのデータベースを利用する
いくつかの組織が既知のフィッシング・ウェブサイトのデータベースを管理している。これらのリソースを利用して、特定のウェブサイトが悪質であると報告されているかどうかを確認することができます。例えば、Google Safe Browsing (https://safebrowsing.google.com/)やPhishTank (https://www.phishtank.com/)などがあります。
ネット上の評判をチェックする
オンライン検索を実行し、他の人がそのウェブサイトが疑わしいと報告しているか、そのウェブサイトと否定的な経験を持っているかどうかを確認します。ユーザーレビュー、フォーラム、セキュリティブログは、ウェブサイトの評判に関する貴重な洞察を提供することができます。
ブラウザの拡張機能やセキュリティソフトを活用する
既知のフィッシング・サイトを検出し、ブロックするのに役立つブラウザの拡張機能やセキュリティ・ソフトウェアをインストールする。これらのツールは、潜在的に悪意のあるサイトにアクセスした際に警告やアラートを表示することがよくあります。
フィッシングサイトから身を守るには?
では、フィッシング攻撃から身を守るにはどうすればいいのでしょうか?オンライン・セキュリティを守るために必要なステップを確実に踏む必要があります。
フィッシング攻撃を防ぐための効果的な戦略をご紹介します:
- DMARC(Domain-based Message Authentication, Reporting, and Conformance)を導入する:DMARCの導入 DMARC は、受信メールの真正性を検証する高度な電子メール認証プロトコルを提供します。DMARCは、電子メールポリシーを定義し、報告メカニズムを有効にすることにより、電子メールのなりすましを防止し、電子メールのセキュリティを強化するのに役立ちます。
- メールフィルタリングとアンチスパムソリューション:機械学習アルゴリズムとヒューリスティックを組み込んだ堅牢な電子メールフィルタリングシステムを採用し、疑わしい電子メールを識別してブロックします。これらのソリューションは、メールのヘッダー、コンテンツ、添付ファイル、送信者のレピュテーションを分析し、フィッシングメールがユーザーの受信トレイに届くのを防ぎます。
- ウェブブラウザの保護:リアルタイムでフィッシング・ウェブサイトを検出し、ブロックする機能を提供するブラウザの拡張機能やプラグインを活用する。これらのツールは、URL、ウェブコンテンツ、既知のフィッシングデータベースを分析し、ブラウジング中のユーザーを積極的に保護します。
- 高度な脅威インテリジェンス・プラットフォームグローバルな脅威状況を監視・分析し、新たなフィッシング手法や悪意のあるドメインに関する最新情報をリアルタイムで提供する、高度な脅威インテリジェンス・プラットフォームを活用します。これらのプラットフォームは、企業が進化する脅威を先取りし、積極的にリスクを軽減するのに役立ちます。
- ウェブ・アプリケーション・ファイアウォール(WAF):WAFソリューションを導入し、既知のフィッシング攻撃パターンを含む悪意のあるトラフィックを検出してブロックする。HTTP/HTTPSリクエストを検査し、洗練されたルールセットを適用することで、WAFはWebアプリケーションを標的としたフィッシングの試みから保護することができます。
フィッシング・サイトの報告方法
フィッシング・ウェブサイトを報告するには、以下の一般的な手順に従ってください:
1.詳細を文書化する:ウェブサイトのURLと、報告に役立つ可能性のある追加情報を記録する。これには、ウェブサイトのスクリーンショット、電子メールのヘッダー、フィッシングの試みに関連する疑わしいメッセージややりとりが含まれる場合があります。メモを取るのに便利でアクセスしやすいオンライン・メモ帳の使用を検討する。
2.ウェブサイトのホスティング・プロバイダーへの報告:WHOISルックアップを行い、フィッシング・ウェブサイトのホスティング・プロバイダーを特定する。ホスティング・プロバイダーを特定したら、そのウェブサイトにアクセスし、指定された連絡先または不正使用報告メカニズムを探す。電子メールを送信するか、提供されているチャネルを通じて、関連するすべての詳細と証拠を含むレポートを提出する。
3.フィッシング対策団体への報告:フィッシングの撲滅に積極的に取り組み、報告されたフィッシング・ウェブサイトのデータベースを管理している団体があります。これらの団体にフィッシング・ウェブサイトを報告することで、認知度を高め、他の人が被害に遭うのを防ぐことができます。そのような組織の例としては、以下のようなものがあります:
- フィッシング対策ワーキンググループ (APWG):APWGのウェブサイトをご覧ください。 https://www.antiphishing.org/ にアクセスし、報告ガイドラインに従ってください。
- Googleセーフブラウジング:Googleにフィッシングサイトを報告する https://safebrowsing.google.com/safebrowsing/report_phish/ にアクセスし、必要な情報を入力してください。
4.地元当局への報告:窃盗、詐欺、その他の犯罪行為に関わる深刻なフィッシングに遭遇したと思われる場合は、最寄りの警察またはサイバー犯罪当局に報告することをお勧めします。その際、収集したすべての証拠と情報を提供してください。
5.組織に報告する(該当する場合):フィッシングの試みがあなたの職場や組織に関連するものである場合、直ちにIT部門またはセキュリティ・チームに報告してください。組織や従業員を保護するために適切な措置を取ることができます。
結論ウェブサイトのフィッシング攻撃に対する防御の強化
もちろん問題は、フィッシング攻撃がより巧妙に、より精巧になっていることだ。多くの人が被害に遭っている今、あなたはあらゆる助けを必要としている。
ウェブサイトのフィッシングに対する防御を強化するために、フィッシングメールがどのようにあなたを惑わすように作られているかを学ぶことができます。
しかし、より多くの人がフィッシングの手口を知るようになれば、より多くの人がフィッシングの手口を見破ることができるようになり、フィッシングに引っかからずにすむようになるだろう。
- ブロックチェーンは電子メールのセキュリティ向上に役立つか?- 2024年5月9日
- データセンター・プロキシプロキシ界の主力マシンを公開- 2024年5月7日
- Kimsuky、DMARCの「なし」ポリシーを悪用した最近のフィッシング攻撃について- 2024年5月6日