ポスト

フィッシングとなりすまし

フィッシングとなりすましは、常に重要なトピックです。フィッシングとなりすましは、素人目には非常によく似たサイバー犯罪の2つのタイプです。しかし、両者には違いがあり、消費者としてどのように対処すべきかがあります。

このように、ある人が有効なユーザーの身元を利用しようとすることを「なりすまし」と呼びます。一方、フィッシングとは、犯罪者が不正なソーシャルエンジニアリングの技術を使用して、ユーザーの個人情報や機密情報を盗むことです。

どちらも迷ったことはありませんか?フィッシングとなりすましの違いを知りたいと思うかもしれません。両者について見てみましょう。

スプーフィングとフィッシングの違い:概要

技術の進歩とインターネットへのアクセスの普及により、個人情報の盗難、データ漏洩、クレジットカード詐欺などのホワイトカラー犯罪にサイバー侵略が頻繁に利用されるようになりました。ネット犯罪者や詐欺師がコンピュータシステムやネットワークに損害を与え、操作し、破壊し、金銭的損失を与える最も一般的な手法は、フィッシングやなりすましメールである。 

スプーフィングとフィッシングは、どちらも電子的に作成された、あるいは偽造された書類に関係するものである。したがって、この2つの用語は多少置き換え可能である。フィッシングではスプーフィングがよく使われるが、スプーフィングが必ずしもフィッシングとみなされるとは限らない。

フィッシングとは?

フィッシングとは、権限のない第三者が、お客様を騙して個人情報を開示させようとすることです。パスワードやクレジットカード番号などの個人情報を盗むことを目的とした不正なウェブサイトへ誘導するリンクや添付ファイルを含む、一見正当なように見える電子メールを受け取った場合に発生します。 

データ漏洩の約25%にフィッシングが関与し、データ漏洩の85%に人的要因がある。, ベライゾンの2021年版DBIRによると.

フィッシングメールは、銀行やオンラインショッピングサイトなど、信頼できる企業からの正式なメッセージに見せかけ、口座のユーザー名やパスワード、セキュリティ質問などの個人情報の更新を要求してくることがあります。このようなメールに記載されているリンクは、クリックする前に再度確認することが重要です。

スプーフィングとは?

スプーフィングとは、サイバー犯罪者が評判の良い、または有名な情報源を装うために用いる手法です。攻撃者は、偽の電子メールドメインを正当な情報源として使用します。スプーフィングには、偽の電子メール、通話、DNSスプーフィング、GPSスプーフィング、Webサイト、電子メールなど、さまざまな形態があります。

こうすることで、敵対者はターゲットと対話し、データを盗んだり、金銭を要求したり、マルウェアやその他の悪意のあるソフトウェアに感染させたりすることを最終目的として、そのシステムやデバイスにアクセスすることができるのです。

なりすまし攻撃は、ユーザー名やパスワード、クレジットカード番号、銀行口座の詳細などの機密情報へのアクセスを目的としています。なりすましは、フィッシング攻撃でもよく使われます。そして、ほぼ 90%サイバー活動の約90%がスプーフィングに関与しています。

フィッシングとなりすまし。主な違い

技術情報

スプーフィングとフィッシングは、ユーザーから機密情報を引き出すために利用される2種類の攻撃です。どちらも不正な電子メールを使って、ユーザーを騙して個人情報を漏らしたり、マルウェアをダウンロードさせたりするものですが、その仕組みは異なります。

  • なりすましとは、正規の送信元から来たように見せかけた偽のメールを送りつけることです。その目的は、パスワードやクレジットカード番号などの個人情報を受信者に開示させることです。フィッシングは、なりすましの一種で、受信者にリンクをクリックさせたり、添付ファイルをダウンロードさせたりして、自分の情報を提供するように要求する偽のメールを送信することである。
  • フィッシングは通常、ソーシャル・エンジニアリングの手法を用い、緊急性や哀れみを与えることで、被害者の感情的な反応を引き起こすことに重点を置いています。スプーフィングとは、より技術的なもので、被害者がどれが本物でどれが偽物かを見分けられないように、同じように見える受信トレイを作成することがよくあります。

目的

  • なりすましは、新しいIDを取得するために行われます:その背後にある考え方は、被害者を騙して、彼らが知っていて信頼できる誰かと通信していると思わせることです。これは、電子メール、インスタントメッセージ、またはFacebookなどのソーシャルメディアを通じて行われます。
  • フィッシングは機密情報を入手するために行われる:目的は、あなたを騙して個人情報を提供させることです。パスワードやクレジットカードの詳細など、受信したメッセージが銀行や他の信頼できる機関やサービスプロバイダーからのものであると信じ込ませるのです。

なりすましを防止する方法

組織でなりすまし攻撃を防ぐには、次のような方法があります。

送信者ポリシーフレームワーク(SPF

SPFは、電子メールのなりすましに対抗するための手法です 電子メールのなりすまし.SPFは、メール送信者があるドメインの代理としてメッセージを送信することを許可されているかどうかを確認するために使用されます。もしそうでなければ、受信サーバーは直ちにそのメッセージを拒否することができます。

SPFレコードには、あるドメインのメール送信を許可されたIPアドレスのリストが含まれています。このレコードは、各ドメインのDNSゾーンファイルに配置されます。あなたは、無料の 無料のSPFチェッカーツールPowerDMARC社製)をご利用ください。

DomainKeys Identified Mail (DKIM)

DKIM は、電子メールが正当なものであり、送信中に改ざんされていないことを確認します。これは、送信中にメッセージに追加されたデジタル署名を使用して行われ、受信サーバーのDNSレコードで検証することができます。

DMARC(Domain-Based Message Authentication, Reporting & Conformance)とは?

DMARC を使用すると、あなたの会社のサーバーから送信されていないにもかかわらず、あなたの会社を名乗る不正なメールを処理する方法のポリシーを設定することができます。このポリシーには、苦情処理手順の設定や、ISPがあなたのドメインからのなりすましメールの疑いをどのように扱うべきかの指示などが含まれます。

フィッシングを防ぐ方法

フィッシング攻撃は、非常に説得力があります。公式のメールアドレスから送られてきたり、見慣れたロゴや画像が使われていたり、本物のように聞こえたりすることもよくあります。このような手口に引っかからないようにするためには

  • 誰が送ったかわからないメールの添付ファイルを開いたり、リンクをクリックしたりしないでください。
  • 信頼できる企業からのメールと称して、スペル、文法、書式に誤りがないか確認する。
  • クレジットカードの明細を定期的にチェックし、異常がないかを確認する。もし、不審な点があれば、すぐに銀行に連絡してください。
  • カフェやホテルの公衆無線LANは使わないでください。ハッカーは、同じネットワーク上であなたの隣に座っていても、あなたのデータにアクセスすることができます。

最後の言葉

簡潔に言うと、フィッシングとは、信頼できるエージェントになりすますことで、ターゲットから機密情報を集めようとすることです。スプーフィングとは、メッセージの受信者を意図的に欺いて、誰かまたはどこかから来たと思わせようとすることです。このように、両者には明確な違いがありますが、いずれも個人情報や信用に深刻な損害を与える可能性があります。

PowerDMARCの専門家に相談し、そのソリューションを使って確実に予防することが一番の方法です。

/によって