マーケティング担当者はブランドイメージの設計者であるため、企業の評判を落とす可能性のある有名な5つのフィッシング用語について知っておく必要があります。 フィッシングとは、ウェブサイトや電子メールを利用して、あたかも信頼できる組織からのものであるかのように見せかけ、実際にはユーザー名、パスワード、クレジットカードの詳細情報(カードデータとも呼ばれる)などの機密情報を収集する目的で作成される攻撃ベクトルの一種です。フィッシング攻撃は、オンラインの世界では一般的なものです。
あなたの会社がフィッシング攻撃の被害に遭うと、ブランド名に傷がつき、検索エンジンのランキングやコンバージョン率に支障をきたす可能性があります。フィッシング攻撃は、企業の一貫性を直接反映するものであるため、マーケティング担当者にとってフィッシング攻撃から身を守ることは優先すべきことです。ゆえに、マーケターとしては、フィッシング詐欺には細心の注意を払って対処する必要があります。
フィッシング詐欺は何年も前から存在しています。今まで知らなかったとしても、それはあなたのせいではありませんのでご心配なく。サイバー詐欺は10年前に誕生したと言う人もいますが、フィッシングが正式に犯罪となったのは2004年のことです。フィッシングのテクニックは進化し続けているため、新しいフィッシング・メールに遭遇すると、すぐに混乱してしまい、時にはそのメッセージが正当なものかどうかを見分けるのが難しくなります。一般的な5つのフィッシング・テクニックに注意することで、自分自身と組織を守ることができます。
知っておきたい5つの一般的なフィッシング用語
1) メールフィッシング
フィッシングメールは通常、正規のドメインを模倣したドメインから大量に送信されます。例えば、ある企業のメールアドレスは「account@company.com」ですが、フィッシング企業は「acocunt@company.com」を使用している場合があります。その目的は、お客様が取引している実在の企業を装うことで、悪意のあるリンクをクリックさせたり、機密情報を共有させたりすることです。 偽のドメインは、「r」と「n」を隣り合わせにして「m」の代わりに「rn」とするなど、文字の置換が行われることがよくあります。
フィッシング攻撃は常に進化しており、時間の経過とともに検知できなくなってきています。脅威となる人物は、ソーシャルエンジニアリングの手法を用いてドメインを偽装し、正規のドメインから不正なメールを送信し、悪意のある目的で利用しています。
2) スピアフィッシング
スピアフィッシングとは、偽の情報を使ってセキュリティレベルの高いアカウントへのアクセスを試みる、新しいサイバー攻撃の形態です。プロの攻撃者は、一人の被害者を危険にさらすことを目的としており、この考えを実行するために、企業の社会的プロフィールや、その企業内の従業員の名前や役割などを調査します。フィッシングとは異なり、スピアフィッシングは、1つの組織や個人を対象としたキャンペーンです。このようなキャンペーンは、特定の人物をターゲットにして組織にアクセスすることを唯一の目的として、脅威アクターによって慎重に構築されます。
3) 捕鯨
ホワイリングは、高レベルの社員の電子メールを危険にさらすことができる高度な標的技術です。その目的は、他のフィッシング手法と同様に、従業員を騙して悪意のあるリンクをクリックさせることにあります。企業ネットワークを通過する最も壊滅的な電子メール攻撃の1つが、このホワイリング詐欺です。これは、説得力を利用して被害者の抵抗力を低下させ、騙して会社の資金を引き渡すことで個人的な利益を得ようとするものです。攻撃者は、企業のCEOなど権威ある立場の人物になりすますことが多いため、WhalingはCEO詐欺とも呼ばれています。
4) ビジネスメールの不正使用
ビジネス・メール・コンプロマイズ(BEC)は、企業にとって非常に大きな損害をもたらすサイバー犯罪の一種です。この種のサイバー攻撃は、電子メール詐欺を利用して組織のドメインに影響を与え、不正な活動に参加させることで、機密データの漏洩や窃盗を引き起こします。BECの例としては、請求書詐欺、ドメイン・スプーフィング、その他の形態のなりすまし攻撃などがあります。2020年のBEC攻撃の統計については、こちらをご覧ください。典型的な攻撃では、詐欺師は組織内の特定の役割の従業員をターゲットに、上級の同僚や顧客、ビジネスパートナーを装った一連の詐欺メールを送信します。詐欺師は、受信者に支払いや機密データの開示を指示することがあります。
5) Angler Phishing
多くの企業は何千人もの顧客を抱え、毎日何百件ものクレームを受け取っています。ソーシャルメディアを通じて、企業はその制約から逃れ、顧客と接触することができるのです。このため、企業はしばしばコミュニティ管理やオンラインレピュテーション管理ツールを使用しています。これにより、企業は顧客の要求に柔軟に対応することができるのです。アングラーフィッシングは、ソーシャルメディア上で不満を持つ顧客に接触し、企業の一員であるかのように装う行為である。フィッシング詐欺は、ソーシャルメディア利用者を騙して、企業が問題を解決しようとしていると思わせるために使われる単純な策略で、実際には、相手側の人物が利用しようとしているのです。
フィッシングや電子メール詐欺から組織を守るには
Eメールサービスプロバイダーは、サービスの一環として統合されたセキュリティパッケージを提供している場合があります。これらのパッケージは、スパムフィルターとして機能し、受信側のフィッシング攻撃から保護してくれます。しかし、BEC、ホエールリング、その他の形態のなりすまし攻撃のように、お客様のドメイン名を使用して詐欺師が受信者の受信箱にメールを送信している場合、これらは目的を果たすことができません。だからこそ、DMARCのようなメール認証ソリューションをすぐに利用し、施行のポリシーに移行する必要があるのです。
- DMARCは、SPFとDKIMの認証標準に照らし合わせてメールを認証します。
- 受信サーバーに対して、認証チェックに失敗したメールにどのように対応すべきかを指定します。
- DMARC aggregate (RUA) レポートは、メールエコシステムと認証結果の可視性を高め、ドメインの監視を容易にします。
- DMARCフォレンジック(RUF)レポートでは、DMARC障害の結果を詳細に分析することができ、なりすまし攻撃への迅速な対応に役立ちます。
PowerDMARCはあなたのブランドにどのように役立ちますか?
PowerDMARCは単なるDMARCサービスプロバイダーではなく、幅広い認証ソリューションとDMARC MSSPプログラムを提供するマルチテナントSaaSプラットフォームです。中小企業から多国籍企業に至るまで、あらゆる組織で電子メール認証を簡単かつ利用しやすくします。
- p=noneからp=rejectへの移行を迅速に行い、なりすまし攻撃、ドメイン偽装、フィッシングからブランドを守るためのサポートを行います。
- 包括的なチャートや表、6つの異なるフォーマットによるRUAレポートビューにより、DMARCレポートを簡単に設定し、使いやすさと可視性を向上させます。
- お客様のプライバシーに配慮して、DMARC RUFレポートをお客様の秘密鍵で暗号化することができます。
- 認証結果のPDFレポートを定期的に生成することをサポートします。
- PowerSPFのようなダイナミックなSPFフラットニングソリューションを提供し、10のDNSルックアップ制限を超えないようにします。
- MTA-STSでSMTPにTLS暗号化を必須化し、広範な監視攻撃からお客様のドメインを保護します。
- BIMIを使って、受信者の受信箱の中でブランドを視覚的に識別できるようにサポートします。
今すぐPowerDMARCにサインアップして、DMARCアナライザーツールの無料トライアルを受けてください。そして、BEC、フィッシング、スプーフィング攻撃からドメインを最大限に保護するために、モニタリングのポリシーからエンフォースメントへと移行してください。
- データセンター・プロキシプロキシ界の主力マシンを公開- 2024年5月7日
- Kimsuky、DMARCの「なし」ポリシーを悪用した最近のフィッシング攻撃について- 2024年5月6日
- 納税シーズンに増加する税金詐欺と国税庁の電子メールによるなりすまし攻撃- 2024年5月2日