ポスト

スピアフィッシング vs フィッシング:違いを見極めよう。フィッシングとは、ハッカーが正規の組織や関係者になりすましながら、消費者や企業ユーザーに大量のメールを送りつけ、受信者の信頼を獲得し、危機感を煽って、認証情報の開示や金銭の提供を説得する詐欺行為のことを指します。一方、スピアフィッシングは、ハッカーや悪意のある人物が、特権的なアクセス権を持つ人物やグループの連絡先を入手する詐欺行為と説明されています。

最近、インターネットを利用していると、スピアフィッシングとフィッシングという2つの新しいサイバー攻撃について耳にすることがほとんどでしょう。この2つの攻撃には、違いがあることが分かっています。このブログでは、スピアフィッシングとフィッシングについて深く説明し、どちらの攻撃に注意すべきかを知っていただくことを目的としています。

スピアフィッシング VS フィッシング:定義

スピアフィッシング

スピアフィッシングスピアフィッシングとは、個人情報を利用して、受信者に特定の行動を取るように仕向けるフィッシングの一種です。スピアフィッシングの目的は、ユーザー名、パスワード、クレジットカード番号、社会保障番号など、機密性の高い情報へのアクセスです。このような攻撃には、通常、銀行などの金融機関、給与支払部門、オンライン小売業者など、正規の送信元から送られてきたように見える電子メールが使用されます。

攻撃者は、電子メールのなりすまし、動的URL、ドライブバイダウンロードなどを利用して、セキュリティ対策を回避し、スピアフィッシング攻撃を行うことがあります。また、プラグインやプログラム、ブラウザのゼロデイ欠陥につけこむ高度な攻撃もあります。スピアフィッシング攻撃は、最終的にバイナリダウンロード、マルウェア通信、データ流出を行う多段階の高度持続的脅威(APT)攻撃の初期段階である可能性があります。

フィッシング

フィッシングとは、ソーシャルエンジニアリングの一種で、通常、大人数に送られる大量の電子メールを利用して、電子メール内のリンクをクリックしたり、添付ファイルを開いたりして、ユーザー名、パスワード、クレジットカード番号などの個人情報を開示させるように仕向けるものである。また、フィッシャーは、銀行や雇用主などの信頼できる組織になりすまし、個人情報を盗み出そうとします。

フィッシング攻撃は、受信トレイを持つ人なら誰でも知っていることです。最近のフィッシング詐欺は、信頼できる企業や銀行からの本物の電子メールに見えることが多いようです。リンクをクリックしたり、添付ファイルをダウンロードする前に、送信者のアドレスにマウスオーバーして正確さを確認するような注意深いユーザーでなければ、それが悪意のあるメールであることを認識することはできません。

フィッシング攻撃は、一人の人間に狙いを定めるのではなく、多くの人間をターゲットにして、少数の人間を捕まえるという、数の勝負に出る。

フィッシングとスピアフィッシング:主な統計データ

年々、フィッシング攻撃は広がりを見せています。ここでは、いくつかの重要な数字について検証してみます。

  • ベライゾンによるとフィッシング詐欺の96%は電子メールで送信されています。
  • テシアン は、年間平均14通の不正な電子メールを受け取っていると主張しています。
  • CISCOによると86%の企業で、少なくとも1人の従業員がフィッシングリンクをクリックしました。

スピアフィッシングVSフィッシング:違いのまとめ

スピアフィッシングとフィッシングの概要は次のとおりです。

 

スピアフィッシング フィッシング
配送 具体的な ランダム
受取人 一人またはグループ 数百人、数千人
トーン 親しみやすい 形式的な
個人アドレス 個人  非人間的
努力

スピアフィッシング VS フィッシング:主な相違点

その他、スピアフィッシングとフィッシングの主な違いについてご紹介します。

起源フィッシングはスピアフィッシングより歴史が古い

フィッシングは、スピアフィッシングよりも長い期間存在しています。スピアフィッシングは、2003年に登場した新しい攻撃で、犯罪者が企業や大きなグループではなく、個人をターゲットにするようになりました。

ターゲティングスピアフィッシングは運ではなくソーシャルエンジニアリングで行われる

スピアフィッシャーは、個人または組織の個人情報を狙って、機密情報、金銭、またはその他の資産にアクセスするために使用します。フィッシャーは、一度に多くの人をターゲットにし、正規のメッセージのように見えるが、送信元が偽者であることを示す一般的なメッセージを使用します。

テクノロジー悪質なリンクに依存するフィッシングと、ペイロードがゼロのスピアフィッシング

フィッシングメールは、ユーザー名やパスワード、クレジットカード番号などの個人情報をだまし取るために、詐欺師によって大量に送信されることがあります。このようなメールには、通常、添付ファイルやリンクが含まれており、そのリンクは、お客様の機密情報を収集するために作られた偽のウェブサイトへと誘導するようになっています。一方、スピア型フィッシングメールは、大量送信メールよりも標的型であるものの、リンクをクリックさせたり、添付ファイルを開かせたりするために、ソーシャルエンジニアリングの手法に依存しています。スピアフィッシングは、スパムフィルターに引っかかりにくいため、標的の受信トレイから直接メッセージを送りつけることもできます。

フィッシング、スピアフィッシング対策方法

ここでは、この2つの攻撃から身を守るための方法を紹介します。

DMARCでメールを認証する

DMARC(Domain-based Message Authentication Reporting & Conformance)は、電子メール検証システムで、メッセージ内の送信者のドメイン名の正当性を検証することにより、なりすましを防止することができる。DMARCは、メッセージを送信するメールサーバーが、Fromフィールドに記載されたドメイン名の所有者によって承認されているかどうかを確認することによって、これを実現する。

メール認証プロトコル SPFDKIMが組み合わされ、DMARCで使用されます。ウェブサイトやビジネスのオーナーとして、すべてのユーザーまたは受信者が、自分が送信または承認したメールだけを見ることができるようにしたいものです。電子メールを完全に保護し、各メッセージが意図的で安全、かつサイバー犯罪の活動を排除することを保証する最善のアプローチは、DMARCを使用することです。

データの暗号化

パソコンやモバイル端末に機密情報がある場合は、パスワードで暗号化しておくとよいでしょう。もし誰かがあなたのデバイスを盗んだとしても、パスワードを知らなければ、あなたのデータにアクセスすることはできません。

アンチスパムフィルターを使用する

アンチスパムフィルターは、フィッシング詐欺などのスパムメールに対する最初の防衛手段です。受信トレイに届く前にブロックしたり、受信トレイに全く届かないようにしたりします。Microsoft Office 365、Gmail、またはフィルタリング機能が組み込まれたその他のメールプロバイダを使用している場合、すでにいくつかの種類のフィッシング攻撃から保護されているはずです。

フィッシングシミュレーションの実施

フィッシング・シミュレーションは、従業員が社内の受信トレイにある不正なメッセージを識別する能力をテストするものです。このテストでは、銀行、航空会社、公共事業などの既知の送信元から本物の電子メールを送信し(ただし、でっち上げの場合もある)、電子メールについて何かおかしいと感じたら報告するよう従業員に求めることがよくあります。

結論

スピアとフィッシングの論争は、明確な勝者がいないまま、永遠に続くと思われます。しかし、どちらも悪いものであり、それを避けるためにできることをするべきだという点では、両者とも同意することができます。スピア型フィッシングの脅威から身を守るために、私たちはさまざまな情報を提供しています。

フィッシングのような高度な電子メールベースの攻撃から保護するために、PowerDMARCは、次のようなものを採用することを支援します。 DMARCの実施 メール配信に妥協しない戦略

スピアフィッシングとは何かご存知ですか?インターネットを利用したことがある人なら知っているかもしれませんね。様々なフィッシング詐欺の中で最も一般的な攻撃方法はスピアフィッシングで、現在も活用されているのは 65%が利用しています。残念ながら、ほとんどの企業のフィッシング対策には弱点がある傾向があります。

スピアフィッシングとは何かわからない?そんなあなたにぴったりです。

スピアフィッシングとは、個人または組織を狙った標的型攻撃のことです。この方法は、電子メールを使用して、受信者が機密情報を明かすように説得します。被害者が知っていて信頼している人など、信頼できる送信元からのメールに見せかけます。

スピアフィッシング攻撃では、犯罪者はソーシャルエンジニアリングの技術を使用して攻撃を実行します。企業や従業員に関する情報を収集し、本物と見紛うようなメールを作成します。サイバー犯罪者は、より効果的にメッセージをカスタマイズするために、過去の侵害事件から得た従業員の機密データを使用することもあります。

スピアフィッシングは、個人情報の盗難や詐欺、知的財産やその他の機密データを盗むために利用されることがあります。

スピアフィッシングの仕組みとは?

スピアフィッシング攻撃は、様々な方法で行われる可能性があります。代表的な手法としては、以下のようなものがあります。

  • スピアフィッシャーによって、ターゲットにメールが送信されます。メール受信者は、悪意のあるリンクや添付ファイルにアクセスするよう促され、マシンをマルウェアに感染させたり、身代金を要求されたりすることがあります。
  • スピア型フィッシャーは、友人、同僚、上司など信頼できる人物を装って、ソーシャルメディアのアカウントやユーザー名、パスワードへのアクセスを求め、データを別の場所に流出させるために使用する情報を収集するものです。
  • スピアフィッシャーは、偽のウェブサイトにリンクしたメールを被害者に送り、暗証番号、ログイン情報、アクセスコードなどの個人情報や機密情報を入力させる。

スピアフィッシングは、従来のフィッシングよりも攻撃者の時間と労力が必要とされるため、より困難な攻撃となります。しかし、個人を特定し、組織内の誰か(場合によっては個人)を直接ターゲットにするため、より効果的でもあります。

拡大するスピアフィッシング攻撃の脅威

スピアフィッシングの検知の難しさ、リモートワークの普及、技術的なセキュリティの甘さなどから、世界中のサイバー犯罪者が選択する武器となっています。

最近のデータによると、スピアフィッシングは、人々や企業にとってますます深刻な危険性を増しています。

に行われた調査によると 2020年8月から10月にかけて行われたは、全世界のスピアフィッシングの試行の87%が、営業日、通常は平日に行われています。土日の攻撃は、全体のわずか13%に過ぎませんでした。

スピアフィッシングでは、被害者の銀行やAmazonなどの信頼できる企業からのメールに見せかけて、不用心な人にメールを送ることがあります。メッセージは、発送通知や取引の確認要求のように見え、有害なリンクをクリックしたり、重要な個人データを提供するように読者を誘惑します。

サイバー犯罪者は、この方法で企業もターゲットにしており、特定の企業の数人の従業員だけを狙うこともよくあります。このような消費者は、上司や他の会社の役員を装って、送金やパスワードの入力、会社の機密情報の漏洩を命じる説得力のあるメールを受け取ることがあります。

スピアフィッシングメールは、どちらの状況でも切迫感を伝えることが多い。つまり、被害者は、迅速な行動を取らなければ、最も深刻な影響を被るという考えを持つのです。

スピアフィッシングから身を守るために必要なことは?

DMARCによる電子メールの認証

電子メール認証の世界標準規格がDMARCです。これにより、送信者は、そのメールが送信元と称する人物から発信されたものであることを確認することができます。これにより、今日最も一般的なサイバー犯罪であるスパムメールやスピアフィッシングを減らすことができます。近年、DMARCの導入が進み、Gmail、Yahoo、その他多数の大手メールプロバイダーがその利点を高く評価しています。

DMARCはどのようにスピアフィッシングを阻止するのか?

A DMARCポリシーのモードは、電子メールフィッシングやダイレクトドメインスプーフィングなど、さまざまなオンラインの脅威との戦いにおいて有用なツールとなり得ます。

DMARCは、電子メールの送信元を確認し、偽の電子メールの受信や開封を防止するのに役立ちます。しかし、実際には、このプロトコルに従った企業はごく一部であり、それを成功させている企業はさらに少ないのが現状です。

ドメイン所有者が安心して導入・監視できるようにするために、DMARCアナライザーを設定することが推奨されています。 DMARCアナライザー.DMARC Analyzerは、電子メールチャネルを完全に把握することができ、DMARCの主な利点となります。以前は、フィッシング攻撃が発生した後に初めて、企業はフィッシング攻撃について知ることができました。DMARCは、常にソースを検証し、監視することで、攻撃を未然に防ぐことを可能にします。また、DMARCのレポートにより、顧客に警告を発することができます。 DMARCレポート.

さらに、p=reject中にクライアントに送信する個別の送信メールに、特徴的なブランドロゴを追加することで、以下のようなメリットが得られます。 BIMI の視覚的な識別機能を利用することができます。

すべてのソフトウエアをアップデートする

悪意のあるソフトウェア(マルウェア)から身を守るには、OSやアプリケーションの最新のセキュリティ・アップデートをインストールすることが一番です。セキュリティパッチは、ソフトウェアの既知のセキュリティ上の欠陥を修正するものなので、常に更新しておく必要があります。

スピアフィッシングに関する従業員教育

スピアフィッシングの被害を未然に防ぐには、スピアフィッシングの特定と回避に関する従業員へのトレーニングが重要です。例えば、正規の電子メールと不正な電子メールの違いを教えることで、危険な兆候を発見することができます。また、不審なメールや電話を報告する方法も教えておくと、何か疑わしいと思ったときにどのような行動を取ればよいかが分かります。

パスワードの使用を最小限に抑える

パスワードは、スピアフィッシングの最初の攻撃でよく使われるため、できるだけ使わないようにすることが重要です。そのためには、多要素認証や、デバイスの種類や場所に応じてアクセスを制限することが有効です。

セキュリティを重視した企業文化の構築

機密データやリソースにアクセスしようとするスピアフィッシャーの試みを阻止するためには、従業員一人ひとりの日常業務にセキュリティを組み込むことが必要です。従業員には、疑わしい電子メールを報告し、外部からの異常な情報要求について質問するよう奨励する必要があります。どのような兆候に注意すべきかを知っている人が多ければ多いほど、組織としてフィッシングを完全に回避することができます。

まとめ

さて、スピアフィッシングとは何か、その仕組み、そして予防策についてご理解いただけたでしょうか。スピアフィッシングとは、簡単に言えば、オーダーメイドのフィッシングです。巧妙な手口でユーザーを騙し、情報を引き出そうとします。さらに危険なのは、無作為のスパム業者ではなく、あなたが知っていて信頼している人物から発信されているように見える点です。

このようなサイバー攻撃の被害に遭わないためには、不審なメッセージに注意することが一番です。機密事項や個人的なことを伝える前に、必ず送信元を確認することです。また、DMARCなどのツールでメールを認証してください。

マーケティング担当者はブランドイメージの設計者であるため、企業の評判を落とす可能性のある有名な5つのフィッシング用語について知っておく必要があります。 フィッシングとは、ウェブサイトや電子メールを利用して、あたかも信頼できる組織からのものであるかのように見せかけ、実際にはユーザー名、パスワード、クレジットカードの詳細情報(カードデータとも呼ばれる)などの機密情報を収集する目的で作成される攻撃ベクトルの一種です。フィッシング攻撃は、オンラインの世界では一般的なものです。

あなたの会社がフィッシング攻撃の被害に遭うと、ブランド名に傷がつき、検索エンジンのランキングやコンバージョン率に支障をきたす可能性があります。フィッシング攻撃は、企業の一貫性を直接反映するものであるため、マーケティング担当者にとってフィッシング攻撃から身を守ることは優先すべきことです。ゆえに、マーケターとしては、フィッシング詐欺には細心の注意を払って対処する必要があります。

フィッシング詐欺は何年も前から存在しています。今まで知らなかったとしても、あなたのせいではありませんのでご安心ください。サイバー詐欺が生まれたのは10年前とも言われていますが、フィッシングが正式に犯罪となったのは2004年のことです。フィッシングの手法は進化し続けているため、新しいフィッシングメールに遭遇するとすぐに混乱してしまい、メッセージが正当なものかどうか見分けがつかないこともあります。これらの5つの一般的なフィッシング手法に注意を払うことで、自分自身と組織をよりよく守ることができます。

知っておきたい5つの一般的なフィッシング用語

1) メールフィッシング 

フィッシングメールは通常、正規のドメインを模倣したドメインから大量に送信されます。例えば、ある企業のメールアドレスは「[email protected]」ですが、フィッシング企業は「[email protected]」を使用している場合があります。その目的は、お客様が取引している実在の企業を装うことで、悪意のあるリンクをクリックさせたり、機密情報を共有させたりすることです。 偽のドメインは、「r」と「n」を隣り合わせにして「m」の代わりに「rn」とするなど、文字の置換が行われることがよくあります。

フィッシング攻撃は常に進化しており、時間の経過とともに検知できなくなってきています。脅威となる人物は、ソーシャルエンジニアリングの手法を用いてドメインを偽装し、正規のドメインから不正なメールを送信し、悪意のある目的で利用しています。

2) スピアフィッシング 

スピアフィッシングとは、偽の情報を使ってセキュリティレベルの高いアカウントへのアクセスを試みる、新しいサイバー攻撃の形態です。プロの攻撃者は、一人の被害者を危険にさらすことを目的としており、この考えを実行するために、企業の社会的プロフィールや、その企業内の従業員の名前や役割などを調査します。フィッシングとは異なり、スピアフィッシングは、1つの組織や個人を対象としたキャンペーンです。このようなキャンペーンは、特定の人物をターゲットにして組織にアクセスすることを唯一の目的として、脅威アクターによって慎重に構築されます。

3) 捕鯨

ホワイリングは、高レベルの社員の電子メールを危険にさらすことができる高度な標的技術です。その目的は、他のフィッシング手法と同様に、従業員を騙して悪意のあるリンクをクリックさせることにあります。企業ネットワークを通過する最も壊滅的な電子メール攻撃の1つが、このホワイリング詐欺です。これは、説得力を利用して被害者の抵抗力を低下させ、騙して会社の資金を引き渡すことで個人的な利益を得ようとするものです。攻撃者は、企業のCEOなど権威ある立場の人物になりすますことが多いため、WhalingはCEO詐欺とも呼ばれています。

4) ビジネスメールの不正使用 

ビジネス・メール・コンプロマイズ(BEC)は、企業にとって非常に大きな損害をもたらすサイバー犯罪の一種です。この種のサイバー攻撃は、電子メール詐欺を利用して組織のドメインに影響を与え、不正な活動に参加させることで、機密データの漏洩や窃盗を引き起こします。BECの例としては、請求書詐欺、ドメイン・スプーフィング、その他の形態のなりすまし攻撃などがあります。2020年のBEC攻撃の統計については、こちらをご覧ください。典型的な攻撃では、詐欺師は組織内の特定の役割の従業員をターゲットに、上級の同僚や顧客、ビジネスパートナーを装った一連の詐欺メールを送信します。詐欺師は、受信者に支払いや機密データの開示を指示することがあります。

5) Angler Phishing 

多くの企業は何千人ものお客様を抱え、毎日何百件ものクレームを受けています。ソーシャルメディアを利用することで、企業は制約から逃れ、顧客にアプローチすることができます。これにより、企業は顧客の要求に柔軟に対応することができます。アングラーフィッシングとは、ソーシャルメディアを通じて不満を持つお客様に接触し、企業の一員であるかのように装う行為のことです。アングラーフィッシングは、ソーシャルメディアを利用している人を騙して、企業が自分たちの問題を解決しようとしていると思わせ、実際には相手が自分たちを利用しているという単純な手口です。

フィッシングや電子メール詐欺から組織を守るには

Eメールサービスプロバイダーは、サービスの一環として統合されたセキュリティパッケージを提供している場合があります。これらのパッケージは、スパムフィルターとして機能し、受信側のフィッシング攻撃から保護してくれます。しかし、BEC、ホエールリング、その他の形態のなりすまし攻撃のように、お客様のドメイン名を使用して詐欺師が受信者の受信箱にメールを送信している場合、これらは目的を果たすことができません。だからこそ、DMARCのようなメール認証ソリューションをすぐに利用し、施行のポリシーに移行する必要があるのです。

  • DMARCは、SPFとDKIMの認証基準に照らし合わせて、電子メールを認証します。
  • 受信サーバーに対して、認証チェックに失敗したメールにどのように対応すべきかを指定します。
  • DMARC aggregate (RUA) レポートは、メールエコシステムと認証結果の可視性を高め、ドメインの監視を容易にします。
  • DMARCフォレンジック(RUF)レポートでは、DMARC障害の結果を詳細に分析することができ、なりすまし攻撃への迅速な対応に役立ちます。

PowerDMARCはあなたのブランドにどのように役立ちますか?

PowerDMARCは、単なるDMARCサービスプロバイダーではなく、幅広い認証ソリューションとDMARC MSSPプログラムを提供するマルチテナント型SaaSプラットフォームです。小規模企業から多国籍企業まで、あらゆる組織にとってメール認証を簡単かつ身近なものにします。

  • p=noneからp=rejectへの移行を迅速に行い、なりすまし攻撃、ドメイン偽装、フィッシングからブランドを守るためのサポートを行います。
  • 包括的なチャートやテーブル、6つの異なるフォーマットのRUAレポートビューを用いて、DMARCレポートを簡単に設定できるようにし、使いやすさと視認性を向上させます。
  • お客様のプライバシーに配慮して、DMARC RUFレポートをお客様の秘密鍵で暗号化することができます。
  • 認証結果のPDFレポートを定期的に生成することをサポートします。
  • PowerSPFのようなダイナミックなSPFフラットニングソリューションを提供し、10のDNSルックアップ制限を超えないようにします。
  • MTA-STSによるSMTPでのTLS暗号化の義務化を支援し、広汎なモニタリング攻撃からドメインを保護します。
  • BIMIを使って、受信者の受信箱の中でブランドを視覚的に識別できるようにサポートします。

今すぐPowerDMARCにサインアップして、DMARCアナライザーツールの無料トライアルを受けてください。そして、BEC、フィッシング、スプーフィング攻撃からドメインを最大限に保護するために、モニタリングのポリシーからエンフォースメントへと移行してください。