マーケティング担当者はブランドイメージの設計者であるため、企業の評判を落とす可能性のある有名な5つのフィッシング用語について知っておく必要があります。 フィッシングとは、ウェブサイトや電子メールを利用して、あたかも信頼できる組織からのものであるかのように見せかけ、実際にはユーザー名、パスワード、クレジットカードの詳細情報（カードデータとも呼ばれる）などの機密情報を収集する目的で作成される攻撃ベクトルの一種です。フィッシング攻撃は、オンラインの世界では一般的なものです。

あなたの会社がフィッシング攻撃の被害に遭うと、ブランド名に傷がつき、検索エンジンのランキングやコンバージョン率に支障をきたす可能性があります。フィッシング攻撃は、企業の一貫性を直接反映するものであるため、マーケティング担当者にとってフィッシング攻撃から身を守ることは優先すべきことです。ゆえに、マーケターとしては、フィッシング詐欺には細心の注意を払って対処する必要があります。

フィッシング詐欺は何年も前から存在しています。今まで知らなかったとしても、あなたのせいではありませんのでご安心ください。サイバー詐欺が生まれたのは10年前とも言われていますが、フィッシングが正式に犯罪となったのは2004年のことです。フィッシングの手法は進化し続けているため、新しいフィッシングメールに遭遇するとすぐに混乱してしまい、メッセージが正当なものかどうか見分けがつかないこともあります。これらの5つの一般的なフィッシング手法に注意を払うことで、自分自身と組織をよりよく守ることができます。

知っておきたい5つの一般的なフィッシング用語

1) メールフィッシング 

フィッシングメールは通常、正規のドメインを模倣したドメインから大量に送信されます。例えば、ある企業のメールアドレスは「[email protected]」ですが、フィッシング企業は「[email protected]」を使用している場合があります。その目的は、お客様が取引している実在の企業を装うことで、悪意のあるリンクをクリックさせたり、機密情報を共有させたりすることです。 偽のドメインは、「r」と「n」を隣り合わせにして「m」の代わりに「rn」とするなど、文字の置換が行われることがよくあります。

フィッシング攻撃は常に進化しており、時間の経過とともに検知できなくなってきています。脅威となる人物は、ソーシャルエンジニアリングの手法を用いてドメインを偽装し、正規のドメインから不正なメールを送信し、悪意のある目的で利用しています。

2) スピアフィッシング 

スピアフィッシングとは、偽の情報を使ってセキュリティレベルの高いアカウントへのアクセスを試みる、新しいサイバー攻撃の形態です。プロの攻撃者は、一人の被害者を危険にさらすことを目的としており、この考えを実行するために、企業の社会的プロフィールや、その企業内の従業員の名前や役割などを調査します。フィッシングとは異なり、スピアフィッシングは、1つの組織や個人を対象としたキャンペーンです。このようなキャンペーンは、特定の人物をターゲットにして組織にアクセスすることを唯一の目的として、脅威アクターによって慎重に構築されます。

3) 捕鯨

ホワイリングは、高レベルの社員の電子メールを危険にさらすことができる高度な標的技術です。その目的は、他のフィッシング手法と同様に、従業員を騙して悪意のあるリンクをクリックさせることにあります。企業ネットワークを通過する最も壊滅的な電子メール攻撃の1つが、このホワイリング詐欺です。これは、説得力を利用して被害者の抵抗力を低下させ、騙して会社の資金を引き渡すことで個人的な利益を得ようとするものです。攻撃者は、企業のCEOなど権威ある立場の人物になりすますことが多いため、WhalingはCEO詐欺とも呼ばれています。

4) ビジネスメールの不正使用 

ビジネス・メール・コンプロマイズ（BEC）は、企業にとって非常に大きな損害をもたらすサイバー犯罪の一種です。この種のサイバー攻撃は、電子メール詐欺を利用して組織のドメインに影響を与え、不正な活動に参加させることで、機密データの漏洩や窃盗を引き起こします。BECの例としては、請求書詐欺、ドメイン・スプーフィング、その他の形態のなりすまし攻撃などがあります。2020年のBEC攻撃の統計については、こちらをご覧ください。典型的な攻撃では、詐欺師は組織内の特定の役割の従業員をターゲットに、上級の同僚や顧客、ビジネスパートナーを装った一連の詐欺メールを送信します。詐欺師は、受信者に支払いや機密データの開示を指示することがあります。

5) Angler Phishing 

多くの企業は何千人もの顧客を抱え、毎日何百件ものクレームを受け取っています。ソーシャルメディアを通じて、企業はその制約から逃れ、顧客と接触することができるのです。このため、企業はしばしばコミュニティ管理やオンラインレピュテーション管理ツールを使用しています。これにより、企業は顧客の要求に柔軟に対応することができるのです。アングラーフィッシングは、ソーシャルメディア上で不満を持つ顧客に接触し、企業の一員であるかのように装う行為である。フィッシング詐欺は、ソーシャルメディア利用者を騙して、企業が問題を解決しようとしていると思わせるために使われる単純な策略で、実際には、相手側の人物が利用しようとしているのです。

フィッシングや電子メール詐欺から組織を守るには

Eメールサービスプロバイダーは、サービスの一環として統合されたセキュリティパッケージを提供している場合があります。これらのパッケージは、スパムフィルターとして機能し、受信側のフィッシング攻撃から保護してくれます。しかし、BEC、ホエールリング、その他の形態のなりすまし攻撃のように、お客様のドメイン名を使用して詐欺師が受信者の受信箱にメールを送信している場合、これらは目的を果たすことができません。だからこそ、DMARCのようなメール認証ソリューションをすぐに利用し、施行のポリシーに移行する必要があるのです。

• DMARCは、SPFとDKIMの認証基準に照らし合わせて、電子メールを認証します。
• 受信サーバーに対して、認証チェックに失敗したメールにどのように対応すべきかを指定します。
• DMARC aggregate (RUA) レポートは、メールエコシステムと認証結果の可視性を高め、ドメインの監視を容易にします。
• DMARCフォレンジック（RUF）レポートでは、DMARC障害の結果を詳細に分析することができ、なりすまし攻撃への迅速な対応に役立ちます。

PowerDMARCはあなたのブランドにどのように役立ちますか？

PowerDMARCは、単なるDMARCサービスプロバイダーではなく、幅広い認証ソリューションとDMARC MSSPプログラムを提供するマルチテナント型SaaSプラットフォームです。小規模企業から多国籍企業まで、あらゆる組織にとってメール認証を簡単かつ身近なものにします。

• p=noneからp=rejectへの移行を迅速に行い、なりすまし攻撃、ドメイン偽装、フィッシングからブランドを守るためのサポートを行います。
• 包括的なチャートやテーブル、6つの異なるフォーマットのRUAレポートビューを用いて、DMARCレポートを簡単に設定できるようにし、使いやすさと視認性を向上させます。
• お客様のプライバシーに配慮して、DMARC RUFレポートをお客様の秘密鍵で暗号化することができます。
• 認証結果のPDFレポートを定期的に生成することをサポートします。
• PowerSPFのようなダイナミックなSPFフラットニングソリューションを提供し、10のDNSルックアップ制限を超えないようにします。
• MTA-STSによるSMTPでのTLS暗号化の義務化を支援し、広汎なモニタリング攻撃からドメインを保護します。
• BIMIを使って、受信者の受信箱の中でブランドを視覚的に識別できるようにサポートします。

今すぐPowerDMARCにサインアップして、DMARCアナライザーツールの無料トライアルを受けてください。そして、BEC、フィッシング、スプーフィング攻撃からドメインを最大限に保護するために、モニタリングのポリシーからエンフォースメントへと移行してください。