ポスト

マーケティング担当者はブランドイメージの設計者であるため、企業の評判を落とす可能性のある有名な5つのフィッシング用語について知っておく必要があります。 フィッシングとは、ウェブサイトや電子メールを利用して、あたかも信頼できる組織からのものであるかのように見せかけ、実際にはユーザー名、パスワード、クレジットカードの詳細情報(カードデータとも呼ばれる)などの機密情報を収集する目的で作成される攻撃ベクトルの一種です。フィッシング攻撃は、オンラインの世界では一般的なものです。

あなたの会社がフィッシング攻撃の被害に遭うと、ブランド名に傷がつき、検索エンジンのランキングやコンバージョン率に支障をきたす可能性があります。フィッシング攻撃は、企業の一貫性を直接反映するものであるため、マーケティング担当者にとってフィッシング攻撃から身を守ることは優先すべきことです。ゆえに、マーケターとしては、フィッシング詐欺には細心の注意を払って対処する必要があります。

フィッシング詐欺は何年も前から存在しています。今まで知らなかったとしても、あなたのせいではありませんのでご安心ください。サイバー詐欺が生まれたのは10年前とも言われていますが、フィッシングが正式に犯罪となったのは2004年のことです。フィッシングの手法は進化し続けているため、新しいフィッシングメールに遭遇するとすぐに混乱してしまい、メッセージが正当なものかどうか見分けがつかないこともあります。これらの5つの一般的なフィッシング手法に注意を払うことで、自分自身と組織をよりよく守ることができます。

知っておきたい5つの一般的なフィッシング用語

1) メールフィッシング 

フィッシングメールは通常、正規のドメインを模倣したドメインから大量に送信されます。例えば、ある企業のメールアドレスは「[email protected]」ですが、フィッシング企業は「[email protected]」を使用している場合があります。その目的は、お客様が取引している実在の企業を装うことで、悪意のあるリンクをクリックさせたり、機密情報を共有させたりすることです。 偽のドメインは、「r」と「n」を隣り合わせにして「m」の代わりに「rn」とするなど、文字の置換が行われることがよくあります。

フィッシング攻撃は常に進化しており、時間の経過とともに検知できなくなってきています。脅威となる人物は、ソーシャルエンジニアリングの手法を用いてドメインを偽装し、正規のドメインから不正なメールを送信し、悪意のある目的で利用しています。

2) スピアフィッシング 

スピアフィッシングとは、偽の情報を使ってセキュリティレベルの高いアカウントへのアクセスを試みる、新しいサイバー攻撃の形態です。プロの攻撃者は、一人の被害者を危険にさらすことを目的としており、この考えを実行するために、企業の社会的プロフィールや、その企業内の従業員の名前や役割などを調査します。フィッシングとは異なり、スピアフィッシングは、1つの組織や個人を対象としたキャンペーンです。このようなキャンペーンは、特定の人物をターゲットにして組織にアクセスすることを唯一の目的として、脅威アクターによって慎重に構築されます。

3) 捕鯨

ホワイリングは、高レベルの社員の電子メールを危険にさらすことができる高度な標的技術です。その目的は、他のフィッシング手法と同様に、従業員を騙して悪意のあるリンクをクリックさせることにあります。企業ネットワークを通過する最も壊滅的な電子メール攻撃の1つが、このホワイリング詐欺です。これは、説得力を利用して被害者の抵抗力を低下させ、騙して会社の資金を引き渡すことで個人的な利益を得ようとするものです。攻撃者は、企業のCEOなど権威ある立場の人物になりすますことが多いため、WhalingはCEO詐欺とも呼ばれています。

4) ビジネスメールの不正使用 

ビジネス・メール・コンプロマイズ(BEC)は、企業にとって非常に大きな損害をもたらすサイバー犯罪の一種です。この種のサイバー攻撃は、電子メール詐欺を利用して組織のドメインに影響を与え、不正な活動に参加させることで、機密データの漏洩や窃盗を引き起こします。BECの例としては、請求書詐欺、ドメイン・スプーフィング、その他の形態のなりすまし攻撃などがあります。2020年のBEC攻撃の統計については、こちらをご覧ください。典型的な攻撃では、詐欺師は組織内の特定の役割の従業員をターゲットに、上級の同僚や顧客、ビジネスパートナーを装った一連の詐欺メールを送信します。詐欺師は、受信者に支払いや機密データの開示を指示することがあります。

5) Angler Phishing 

多くの企業は何千人ものお客様を抱え、毎日何百件ものクレームを受けています。ソーシャルメディアを利用することで、企業は制約から逃れ、顧客にアプローチすることができます。これにより、企業は顧客の要求に柔軟に対応することができます。アングラーフィッシングとは、ソーシャルメディアを通じて不満を持つお客様に接触し、企業の一員であるかのように装う行為のことです。アングラーフィッシングは、ソーシャルメディアを利用している人を騙して、企業が自分たちの問題を解決しようとしていると思わせ、実際には相手が自分たちを利用しているという単純な手口です。

フィッシングや電子メール詐欺から組織を守るには

Eメールサービスプロバイダーは、サービスの一環として統合されたセキュリティパッケージを提供している場合があります。これらのパッケージは、スパムフィルターとして機能し、受信側のフィッシング攻撃から保護してくれます。しかし、BEC、ホエールリング、その他の形態のなりすまし攻撃のように、お客様のドメイン名を使用して詐欺師が受信者の受信箱にメールを送信している場合、これらは目的を果たすことができません。だからこそ、DMARCのようなメール認証ソリューションをすぐに利用し、施行のポリシーに移行する必要があるのです。

  • DMARCは、SPFとDKIMの認証基準に照らし合わせて、電子メールを認証します。
  • 受信サーバーに対して、認証チェックに失敗したメールにどのように対応すべきかを指定します。
  • DMARC aggregate (RUA) レポートは、メールエコシステムと認証結果の可視性を高め、ドメインの監視を容易にします。
  • DMARCフォレンジック(RUF)レポートでは、DMARC障害の結果を詳細に分析することができ、なりすまし攻撃への迅速な対応に役立ちます。

PowerDMARCはあなたのブランドにどのように役立ちますか?

PowerDMARCは、単なるDMARCサービスプロバイダーではなく、幅広い認証ソリューションとDMARC MSSPプログラムを提供するマルチテナント型SaaSプラットフォームです。小規模企業から多国籍企業まで、あらゆる組織にとってメール認証を簡単かつ身近なものにします。

  • p=noneからp=rejectへの移行を迅速に行い、なりすまし攻撃、ドメイン偽装、フィッシングからブランドを守るためのサポートを行います。
  • 包括的なチャートやテーブル、6つの異なるフォーマットのRUAレポートビューを用いて、DMARCレポートを簡単に設定できるようにし、使いやすさと視認性を向上させます。
  • お客様のプライバシーに配慮して、DMARC RUFレポートをお客様の秘密鍵で暗号化することができます。
  • 認証結果のPDFレポートを定期的に生成することをサポートします。
  • PowerSPFのようなダイナミックなSPFフラットニングソリューションを提供し、10のDNSルックアップ制限を超えないようにします。
  • MTA-STSによるSMTPでのTLS暗号化の義務化を支援し、広汎なモニタリング攻撃からドメインを保護します。
  • BIMIを使って、受信者の受信箱の中でブランドを視覚的に識別できるようにサポートします。

今すぐPowerDMARCにサインアップして、DMARCアナライザーツールの無料トライアルを受けてください。そして、BEC、フィッシング、スプーフィング攻撃からドメインを最大限に保護するために、モニタリングのポリシーからエンフォースメントへと移行してください。

電子メールは、B2Bのリードジェネレーションや顧客とのコミュニケーションのための重要なチャネルとして機能していますが、同時にサイバー攻撃や電子メール詐欺の最も広く狙われているチャネルの一つでもあります。サイバー犯罪者は、より多くの情報や金融資産を盗むために、常に攻撃方法を革新しています。企業がより強固なセキュリティ対策で反撃を続ける中、サイバー犯罪者は常に戦術を進化させ、フィッシングやなりすましの技術を向上させなければなりません。

2021年、従来のメールセキュリティソリューションでは検知できない、機械学習(ML)や人工知能(AI)を利用したフィッシング攻撃が急激に増加していることが、世界中のセキュリティ研究者によって検知されています。これらの攻撃の主な目的は、人間の行動を操作して、詐欺師の口座にお金を振り込むなどの不正な行為をさせることです。

電子メールを使った攻撃や電子メール詐欺の脅威は常に進化していますが、遅れをとってはいけません。詐欺師の戦術、ツール、マルウェアの観点から、今後数年間に起こるであろうメール詐欺のトレンドを知っておきましょう。このブログ記事を通して、サイバー犯罪者がどのように戦術を展開しているかを紹介し、あなたのビジネスがこのようなメール攻撃を防ぐ方法を説明します。

2021年に気をつけたいメール詐欺の種類

1.ビジネスメールの不正アクセス(BEC

COVID-19により、企業はリモートワーク環境を導入し、従業員、パートナー、顧客の間でバーチャルなコミュニケーションに移行することを余儀なくされています。これにはいくつかのメリットがありますが、最も明らかなデメリットは、過去1年間でBECが驚くほど増加していることです。BECとは、メールスプーフィングやフィッシングなどの電子メール詐欺を指す広義の言葉です。

一般的には、サイバー攻撃者が自社のドメイン名を使って、パートナーや顧客、従業員にメールを送り、企業の認証情報を盗んで機密資産にアクセスしたり、電信送金を開始したりするというものです。BECは、過去1年間で70%以上の組織に影響を与え、数十億ドルに相当する企業資産の損失につながっています。

2.進化したメールフィッシング攻撃

電子メールによるフィッシング攻撃は、ここ数年で劇的に進化していますが、その目的は変わりません。それは、信頼しているパートナーや従業員、顧客を操り、自社から送られたように見える電子メールに含まれる悪意のあるリンクをクリックさせることで、マルウェアのインストールや認証情報の窃取を開始させるための媒体です。進化した電子メール詐欺師は、検知が困難なフィッシングメールを送信しています。非の打ちどころのない件名や間違いのないコンテンツの作成から、精度の高い偽のランディングページの作成まで、彼らの活動を手作業で追跡することは、2021年にはますます困難になっています。

3.マンインザミドル

素人でもわかるような稚拙なメールを攻撃者が送りつけていた時代は終わりました。最近の脅威アクターは、通信している2つのメールサーバー間の電子メール取引でオポチュニスティックな暗号化が使用されているようなSMTPセキュリティの問題を利用して、安全な接続を暗号化されていない接続にロールバックすることに成功した後、会話を盗聴しています。SMTPダウングレードやDNSスプーフィングなどのMITM攻撃は、2021年に入ってからますます盛んになっています。

4.CEOの不正行為

CEO詐欺とは、機密情報へのアクセスを目的として、上級管理職をターゲットにしたスキームが行われていることを指します。攻撃者は、CEOやCFOなどの実在の人物になりすまして、組織内の下位レベルの人々やパートナー、顧客にメッセージを送信し、騙して機密情報を提供させることでこれを行います。この種の攻撃は、Business Email CompromiseやWhalingとも呼ばれます。ビジネスの現場では、組織の意思決定者になりすまして、より信憑性の高いメールを作成しようとする犯罪者もいます。これにより、安易な金銭の授受や企業の機密情報を要求することができます。

5.COVID-19 ワクチンルアー

セキュリティ研究者は、ハッカーがCOVID-19パンデミックの恐怖を利用しようとしていることを明らかにしました。最近の研究では、サイバー犯罪者の心理が明らかになっており、COVID-19パンデミックにまつわるパニック状態に引き続き関心を寄せていることや、企業のトップを狙ったフィッシングやBEC(business email compromise)攻撃が目に見えて増加していることがわかっています。これらの攻撃を行うための媒体は、COVID-19ワクチンの偽物で、メール受信者の関心を瞬時に高めます。

メールセキュリティを強化するには?

  • SPF、DKIM、DMARCなどのメール認証規格に対応したドメインの設定
  • DMARCモニタリングからDMARCエンフォースメントへの移行により、BEC、CEO詐欺、進化したフィッシング攻撃から最大限の保護を得ることができます。
  • 随時、メールの流れや認証結果を一貫して監視する
  • MITM攻撃を軽減するために、MTA-STSでSMTPに暗号化を必須にする。
  • SMTP TLSレポーティング(TLS-RPT )により、メール配信の問題について、その根本的な原因の詳細を定期的に通知
  • DNSルックアップ数を常に10件以内に抑えることで、SPFパーマラーを軽減
  • BIMIを使って、受信者が受信箱の中で貴社ブランドを視覚的に識別できるようにする。

PowerDMARCは、SPF、DKIM、MTA-STS、TLS-RPT、BIMIなどのすべての電子メール認証プロトコルを1枚のガラスに集約した、電子メール認証のSaaSプラットフォームです。今すぐ登録して、無料のDMARCアナライザ を手に入れましょう。

最悪のフィッシング詐欺とは何かご存知ですか?CEO詐欺のように、無視することができないものです。政府を装ったメールで、未払いの税金を払わないと法的措置を取ると言ってきます。学校や大学から送られてきたかのようなメールで、払い損ねた学費を払えというもの。あるいは、上司やCEOからのメッセージで、「好意で」お金を振り込むように言われることもあるでしょう。

このようなメールの問題点は、政府や大学の理事会、職場の上司などの権威者になりすましていることです。彼らは重要な人物であり、彼らのメッセージを無視すれば、ほぼ間違いなく重大な結果を招きます。だから、見ざるを得ないし、説得力があると思えば、実際に騙されてしまうかもしれない。

しかし、ここではCEOの不正について見てみましょう。それは一体何なのか?あなたにも起こりうるのでしょうか?そして、もし起こりうるとしたら、それを阻止するために何をすべきか?

CEOの不正とは無縁ではない

毎年23億ドルの詐欺事件が発生しています。単純なメール詐欺で、何が企業にそれだけのお金を失わせることができるのか?"と疑問に思うかもしれません。しかし、CEOの詐欺メールがどれほど説得力があるか、驚くことでしょう。

2016年、マテル社はフィッシング攻撃により300万ドルの損失を出しそうになりました。財務担当役員がCEOからメールを受け取り、中国にあるベンダーの一つに支払いを送るよう指示されました。しかし、後になってCEOに確認したところ、メールを送っていなかったことが判明したのです。幸い、この会社は中国と米国の法執行機関と協力して、数日後にお金を取り戻しましたが、このような攻撃が起こることはほとんどありません。

このような詐欺は自分には起こらないと思いがちですが、実際に起こってみるとそうでもないのです。そして、それが最大の間違いであり、CEOの詐欺に備えていないということなのです。

フィッシング詐欺は、組織に何百万ドルもの損害を与えるだけでなく、ブランドの評判や信頼性に永続的な影響を与える可能性があります。メール詐欺で損失を出した企業と思われたり、重要な個人情報を保管している顧客の信頼を失ったりする危険性があります。

事後の対応に追われるのではなく、今回のようなスピアフィッシング詐欺からメールチャネルを保護する方がはるかに意味があります。ここでは、FBIが発表したBECに関するレポートで、あなたの組織が統計対象にならないようにするための最善の方法をいくつかご紹介します。

CEOの不正を防ぐには6つのシンプルなステップ

  1. スタッフへのセキュリティ教育
    これは非常に重要なことです。従業員、特に財務部門の従業員は、ビジネスメール不正アクセスの仕組みを理解する必要があります。パスワードを付箋に書いてはいけない」というような2時間の退屈な説明だけではありません。メールが偽物であることを示す不審な兆候に気づく方法、なりすましメールアドレスに注意する方法、他のスタッフがメールで行っていると思われる異常な要求に気づく方法などをトレーニングする必要があります。
  2. なりすましの兆候を見逃すな
    電子メール詐欺師は、あらゆる手段を使ってお客様を要求に応じさせようとします。その内容は、考えずにすぐに行動するように仕向けるための緊急の送金依頼や指示、あるいは、上層部がまだ公開していない「秘密のプロジェクト」のための機密情報へのアクセスを求めるものなど、多岐にわたります。これらは重大な危険信号であり、何か行動を起こす前に、二重三重に確認する必要があります。
  3. DMARCで保護する
    フィッシング詐欺を防ぐ最も簡単な方法は、そもそもメールを受信しないことです。DMARCは、メールを配信する前に、あなたのドメインから送られてくるメールを検証するメール認証プロトコルです。お客様のドメインでDMARCを実施すると、お客様の組織の誰かになりすました攻撃者は、不正な送信者として検出され、そのメールはお客様の受信箱からブロックされます。なりすましメールに対処する必要は一切ありません。
  4. 電信送金の明示的な承認を得る
    これは、間違った相手への送金を防ぐための、最も簡単で分かりやすい方法の一つです。取引を行う前に、電子メール以外の方法で、送金を依頼した相手から明確な承認を得ることを義務づけてください。大規模な送金の場合は、口頭での確認が必須となります。
  5. 似たような拡張子のメールにフラグを立てる
    FBIは、自社の拡張子と酷似した拡張子を使用するメールに自動的にフラグを立てるシステム・ルールを作成することを推奨しています。例えば、あなたの会社が「123-business.com」を使用している場合、システムは「123_business.com」のような拡張子を使用したメールを検出してフラグを立てることができます。
  6. 類似ドメイン名の購入
    攻撃者は、似たようなドメイン名を使ってフィッシングメールを送信することがよくあります。例えば、組織名に小文字の「i」が含まれている場合、大文字の「I」を使用したり、「E」を数字の「3」に置き換えたりします。このようにすることで、極端に似たドメイン名を使ってメールを送ってくる可能性を低くすることができます。