ポスト

フィッシングは、インターネットに対する人々の本質的な信頼に依存しているため、効果的かつ危険なサイバー犯罪である。犯罪者があなたを騙して個人情報を与えることができるという考えは、ほとんどの人にとって信じがたいものであり、そのため善意の人でも簡単にフィッシング攻撃の犠牲になってしまうのです。

フィッシングが効果的かつ危険なサイバー犯罪である主な要因

フィッシングは、犯行が容易で発見が困難な一般的なサイバー犯罪です。フィッシングは何十年も前から存在する犯罪ですが、今でも企業や個人にとって大きな脅威となっています。

  • フィッシングがサイバー犯罪として有効なのは、その手口が非常にシンプルだからです。正規の企業や個人からと思われるメールを送ったり、ソーシャルメディアに投稿したりします。そして、アカウントにログインしてパスワードを変更するように、あるいはクレジットカード番号や他のアカウントのパスワードなど、何らかの情報を入力するように要求します。
  • フィッシングが効果的なのは、犯人が特定の個人またはグループをターゲットにできるためです。また、被害者を騙して情報を提供させるために、さまざまな手段を用いることができます。 

例えば、正規の企業(Googleなど)からと思われるメールを送り、その企業のウェブサイトからアカウントにログインするように要求することがあります。この手口に引っかかると、ユーザー名とパスワードが盗まれてしまうのです!

  • フィッシングがこれほど効果的な犯罪であるもう一つの理由は、それを取り締まる法律がまだ存在しないことです-現時点では、ネット上の嫌がらせや詐欺とみなされているだけなのです。つまり、上記のようなフィッシング詐欺によって個人情報を盗まれても、被害者は何の法的手段も持たないのです。
  • 近年でもフィッシングに関する認知度はあまり高くない。多くの会社員やドメイン所有者、個人は「フィッシング」という言葉をなんとなく聞いたことがあるだけで、どのように実行され、どのように身を守ればいいのか正しく理解されていないのが現状です。
  • その理由の一つは、フィッシングの実行が非常に簡単であることです。必要なのは、コンピュータとその使い方に関する基本的な知識だけです。そのため、フィッシングは安価で簡単に実行できるのですが、それゆえに危険なのです。
  • もうひとつは、人間は騙されることに長けているということです。私たちの脳は、目で見たことを信じるようにできています。フィッシャーは、この傾向を利用して、人々が自分の利益に反する行動を取るように仕向ける方法を学んできました。 

だから、知らない人からのメールを開いたり、知らない人から送られてきたメールのリンクをクリックしたりしない方がいいとわかっていても、ついやってしまうのです。脳が「これらは安全だ」と思い込ませてしまうからです

フィッシングを検知するには?

送信されたメールが本物であることを確認する

もし、それが本物かどうかわからない場合、確認する方法がいくつかあります。まず、送ってきた人が知り合い(上司など)であれば、電話をかけて本当に送ってきたかどうか聞いてみましょう。もし、イエスと言われたら、その人の言うとおりにしてください。でも、「いいえ」と言われたら......何か怪しいかもしれませんね。

第二に、電子メールのアドレスを見てください:それは会社の公式アドレスのように見えますか?多くの場合、この種のメールは "mailinator "などで終わるアドレスから送られてきますが、それは実際にはその会社からではないということです。

メッセージの認証

推測を排除するために、SPF、DKIM、特になどの信頼性の高いプロトコルを使用して電子メールメッセージを認証することを検討することができます。 DMARC.認証は、ドメイン所有者が、スプーフィング、フィッシング、ランサムウェア、BECなどのさまざまなサイバー攻撃を防ぐのに役立ちます。 BEC.

サインを探す

  1. スペルミス、文法ミスなど、メールに誤りがないかを確認する。フィッシングメールの多くは、英語を母国語としない詐欺師によって作成されるため、少なくとも1つは間違いがあります。
  2. メールに記載されているリンク先を確認する。リンクがあなたの銀行やオンラインストアと関連性のないウェブサイトに誘導している場合、それをクリックするのはおそらく安全ではありません。
  3. メールに記載されている電話番号は、Google VoiceやSkypeなどの信頼できるソースで確認してから、たとえそれが正当なものであったとしても、電話をかけ直してください。また、電子メールでの請求が疑わしい場合は、電話で機密情報を共有することなく、銀行に直接電話することもできます。"

詳細なガイドを読む フィッシングの一般的な兆候.

フィッシングに遭わないためには?

詐欺に遭わないためには、以下の点に注意してください。

  1. 絶対にクリックしないでください。 フィッシングリンクメールやテキストメッセージのフィッシングリンクは、その発信元がわからない限り(そして個人情報を要求してくる場合も)、決してクリックしないようにしましょう。
  2. 送信者のメールアドレスを見て、本当のメールアドレスと比較してください(送信者がこれを教えている場合)。見た目が悪かったり、スペルミスやその他の間違いがある場合は、開かないでください。
  3. DMARCポリシーをp=rejectに強制する(ただし、p=rejectに移行すると DMARCの強制への移行は徐々に行うべきであり、最初は常にp=noneから始めることをお勧めします)
  4. 電子メールの攻撃経路とベストプラクティスについて従業員を教育するため、無料の DMARCトレーニング.

最後の言葉

フィッシング攻撃は、ネットワークをデータ漏洩やマルウェア感染のリスクにさらすだけでなく、毎年、企業に数百万ドルの収益損失と風評被害を与えています(IBM調べ)。これらの攻撃を防ぐ最善の方法は、意識向上、早期発見、効果的な予防策を講じることです。 

フィッシングやスプーフィングなどのなりすまし攻撃は、ドメインの健全性に大きな影響を与え、認証失敗やメールの漏洩などにつながる可能性があります。だからこそ、今日からでもこれらに対する防御力を高める必要があるのです。フィッシングやなりすましの攻撃からメールを適切に保護するためには、様々な方法を導入することができます。ここでは、それらがどのようなものかを説明します。

なりすまし攻撃を防ぐメール認証プロトコル

  1. 送信者ポリシーフレームワーク(SPF)について
    まずはSPFを導入するのが良いでしょう。Sender Policy Frameworkは、お客様のドメイン名のDNSに基づいて、メールの送信に使用されるIPがその権利を持っていることを証明することができます。これにより、ドメイン名の不正使用を防ぎ、第三者があなたになりすますことを防ぐことができます。フィッシングやなりすましの攻撃は、このようなミスを利用することが多いため、SPFプロトコルは特に効果的です。メールサーバーが、あなたのドメインに起因するIPアドレスを持つメールサーバーから送信されたと記載している場合、一般的にOSはメールを配信する前に2度確認します。このようにして、SPFを尊重していないメールサーバーはうまく無視されます。簡単に言うと、「SPFプロトコル」とは、ドメインの所有者(例えば[email protected])がそのDNS機関に認証を送ることができるというものです。

  2. DomainKeys Identified Mail (DKIM)
    DomainKeys Identified Mail(DKIM)とは、デジタル署名を用いてメッセージの送信元と内容を確認する電子メール認証システムのことです。DKIMは、スパムやフィッシングなどの悪質な電子メールを減らすために、電子メールの送信元と内容を確認するための一連の暗号技術です。具体的には、共有された秘密の暗号鍵を用いてメッセージの送信者を認証し(この秘密鍵は意図した受信者のみが所有している必要があります)、電子メールが「なりすまし」や偽者によって偽装されないことを保証します。また、署名を検証する組織は、電子メールのデータ破損を検出した場合、その電子メールを偽物として拒否し、送信者にその旨を通知することができます。

  3. DMARC(Domain-based Message Authentication, Reporting, and Conformance)について
    DMARCが存在する理由はいくつかあります。まず、DMARCは、どのメッセージが正当なもので、どのメッセージがそうでないかをメールサーバーに伝える方法を提供します。第2に、DMARCは、あなたのドメインが攻撃からどれだけ保護されているかを示すレポートを提供します。第3に、DMARCは、貴社の評判を落とす可能性のあるメッセージと貴社のブランドが結びつかないように保護します。DMARCは、電子メールメッセージが、送信元とされるドメインから本当に発信されたものかどうかを検証することで、フィッシングやスプーフィングに対する保護を強化します。また、DMARCは、受信したメッセージに関するレポートを要求することができます。これらのレポートは、考えられるセキュリティ問題を調査し、マルウェアの感染や組織を標的としたフィッシング攻撃など、考えられる脅威を特定するのに役立ちます。

フィッシングやなりすましの攻撃からドメインを守るために、PowerDMARCはどのように役立ちますか?

PowerDMARCのメールセキュリティ認証スイートは、SPF、DKIM、DMARCプロトコルのシームレスなオンボーディングを支援するだけでなく、以下のような多くの付加価値を提供します。

  • SPFフラットニングSPFレコードの有効性を維持し、SPFのハードリミットである10ルックアップ以下にするために
  • ビジネスメールを視覚的に識別するBIMIBIMIは、顧客に届くメールに、メールを開く前からブランドロゴを目立たせることができます。
  • 送信中のメールを暗号化するMTA-STS

楽しむために 無料のDMARCを利用するには、サインアップしてPowerDMARCアカウントを作成するだけで、追加費用は一切かかりません。より安全なメール体験のために、PowerDMARCでメール認証を始めてみませんか?