フィッシングメールとは?フィッシングメールに気をつけよう

ブログ

フィッシングメールとは何か、どのように見分けるか。一般的なフィッシングメールの種類と例をご覧いただくことで、警戒を怠らず、フィッシング詐欺から身を守ることができます。

byアホナ・ルドラ

読書時間 9
フィッシングメールとは?フィッシングメールに気をつけよう
目次-

フィッシングメールは、あなたの受信トレイに偽装された偽者のようなものです。フィッシングメールは、信頼できる送信元を装い、あなたを欺き、操作して、機密情報を開示させたり、有害な行為を実行させたりすることを目的としています。Eメールフィッシングは、90年代半ばに初期のAOLユーザーが経験したような、ランダムなクレジットカードジェネレーターを使用した単純ないたずらから、高度ななりすまし戦術を使用した世界中のハッカーのための洗練された、非常に有利な活動へと、長年にわたって進化してきました。それは、人間の脆弱性と騙されやすさを利用したデジタル詐欺師である。

個人情報の盗難、金銭的損失、アカウントへの不正アクセスなど、壊滅的な結果につながる可能性があります。ベライゾンの2019年データ漏えい調査報告書によると、その年に発生したデータ漏えいの約32%にフィッシングメールやソーシャルエンジニアリングが関与しています。フィッシングメールの唯一の目的は、あなたを欺き、搾取することですから、用心深く、懐疑的になりましょう。

主なポイント

  1. フィッシングメールは、信頼できる情報源を装って受信者を操り、多くの場合、ソーシャルエンジニアリングや緊急性を利用して機密情報を引き出したり、有害な行動を誘発したりします。
  2. フィッシングはビジネスメール詐欺(BEC)のような巧妙な攻撃へと発展し、なりすましによって組織に多大な金銭的損失をもたらしている。
  3. 送信者のEメールアドレスを注意深く調べ、一般的な挨拶文、稚拙な文法やスペル、個人情報や緊急の用件を求める予期せぬ要求がないかどうかを確認する。
  4. マルウェアや認証情報の盗難につながる可能性があるため、たとえ既知の連絡先から来たように見えても、予期せぬ添付ファイルやリンクには注意してください。
  5. 電子メール認証(SPF、DKIM、DMARC)の実装は、ドメイン保護にとって非常に重要であり、なりすましやなりすましに対する可視性と制御を提供します。

フィッシング・メールとは?

フィッシングメールは、受信者を騙して機密情報を開示させたり、攻撃者に有利な行動を取らせたりするように設計された詐欺的なメッセージです。フィッシングメールは、ソーシャルエンジニアリングの一種で、詐欺師が、銀行や政府機関、あるいは社内の人物など、信頼できる組織や個人からのメールに見せかけて送信し、人々を騙して機密情報を提供させようとするものです。このようなメールは、銀行、オンラインサービス、有名企業など、信頼できる情報源からの合法的な通信を模倣することがよくあります。電子メールによるフィッシングは、人々がオンラインで過ごす時間が長くなるにつれて、より一般的になってきています。

PowerDMARCでフィッシング・セキュリティを簡素化!

15日間のトライアルデモを予約する

フィッシングメールはどのような仕組みになっているのか?

フィッシングメールは、受信者を騙して機密情報を漏らしたり、特定の行動を取らせたりするために、欺くような手口を使います。このようなメールは、通常、受信者の信頼を得るために、正当な組織や個人になりすまします。ここでは、典型的なフィッシングメールの仕組みについて、興味深い説明をします:

  • 偽装:フィッシング・メールは、銀行、ソーシャルメディア・プラットフォーム、有名企業など、信頼できる情報源から送信されているように見せかけることがよくあります。Eメールのアドレスや内容は、正規の団体のものと酷似するように作られているため、本物のコミュニケーションと見分けることが難しくなっています。
  • 緊急性や恐怖:受信者の感情を操作するために、フィッシングメールはしばしば緊急性や恐怖感を煽ります。フィッシングメールは、不正アクセスやサービス停止が迫っているなど、受信者のアカウントに問題があると主張することがあります。不安を煽ることで、攻撃者は慎重に検討することなく、性急な行動を促すことを目的としています。
  • ソーシャル・エンジニアリング:フィッシング・メールはソーシャル・エンジニアリングのテクニックを活用し、人間の心理を悪用する。フィッシング・メールは、システムのセキュリティ・インフラストラクチャーの欠陥ではなく、ヒューマン・エラーの必然性を利用し、これらのテクニックに大きく依存している。成功の可能性を高めるために、パーソナライゼーション、お世辞、取り逃がしの恐怖(FOMO)など、さまざまな手口を使うこともある。感情や心理的トリガーを利用することで、攻撃者は受信者の理性的思考を上書きしようとする。
  • 欺瞞的なリンクや添付ファイル:フィッシングメールには通常、悪意のあるウェブサイトやマルウェアに感染したファイルに誘導するリンクや添付ファイルが含まれています。リンクは一見合法的に見えますが、実際にはターゲット組織のログインページに似せた偽のウェブサイトに受信者を誘導します。被害者が認証情報を入力すると、攻撃者は不正アクセスのために認証情報を取得します。
  • データ収集:フィッシング・メールは、ユーザー名、パスワード、クレジットカード情報、個人識別情報などの機密情報を収集することを目的としています。これらの情報は、なりすましや不正な取引、様々なアカウントへの不正アクセスに使用される可能性があります。
  • 悪用:攻撃者はいったん機密データを入手すると、さまざまな目的のためにそれを悪用することができます。これには、被害者のアカウントへの不正アクセス、金銭詐欺、ブラックマーケットでの情報販売、スピアフィッシングなどのさらなる標的型攻撃などが考えられます。

フィッシングメールを見破るには?

メールの形式、差出人アドレスの矛盾、スペルミス、稚拙な文章、大げさな請求や誘い文句などを注意深く調べることで、フィッシングメールを簡単に見破ることができます。メールの件名と本文に、スペルミスや偽メールの可能性を示すその他の警告サインがないかチェックしましょう。文法的なミスやぎこちない言い回しは、非ネイティブスピーカーか、急いで作られた偽メールの可能性があります。以下、探ってみましょう:

  • 一般的な挨拶・敬語

フィッシングメールでは、"Dear Sir/Madam "や "Valued Customer "などの一般的な挨拶がよく使われます。正規のメールでは、通常、受信者を名前で呼びます。

  • 個人情報の開示請求について

合法的な組織が個人情報や財務情報を電子メールで要求することはほとんどありません。社会保障番号やログイン情報など、機密性の高いデータを要求するメールには注意が必要です。

  • 異常な送信者メールアドレス

送信者のEメールアドレスを注意深く調べてください。フィッシングメールは、スペルミスや不審なドメイン名を使用し、正規のものを模倣している場合があります。その企業や政府機関からの公式な通信で見慣れたものと一致しない場合は、おそらく正規のものではありません。

  • 予期せぬ添付ファイルやダウンロード

受信時の注意点 悪質なメールの添付ファイル知人からのメールであっても、悪質な添付ファイルやダウンロードリンクの受信には注意が必要です。不正なファイルには、マルウェアやランサムウェアが含まれていることがあります。

一般的なフィッシングメールの種類

スプーフィング、スピアフィッシング、ホエーリング、ファーミング、BECなどが一般的なフィッシングメールの種類です。被害者のプロファイルや手口は若干異なるものの、組織や個人に被害をもたらす可能性が高い。

1.電子メールのなりすまし

電子メールのなりすましには、送信者の電子メールアドレスを偽造して、あたかも信頼できる送信元からの電子メールであるかのように見せかけることが含まれます。攻撃者は、銀行、政府機関、または人気のあるオンライン・サービスになりすまし、受信者を騙して機密情報を開示させることがあります。このような攻撃の目的は、受信者をだましてメールを開かせ、場合によってはリンクをクリックさせたり、攻撃者との対話を開始させたりすることです。このような攻撃は、ソーシャル・エンジニアリングのテクニックに大きく依存している。例えば、2019年9月、トヨタは、ハッカーが電子メールアドレスを詐称し、財務権限を持つ従業員に電子送金用の口座情報を変更するよう説得し、3700万ドルを失った。

2.スピアフィッシング

スピアフィッシングは、サイバー犯罪者が特定の個人または組織向けにメールを作成する、標的型フィッシングの一種です。サイバー犯罪者は、様々な情報源から個人情報を収集し、メールをより合法的に見せかけ、成功の可能性を高めます。

3.捕鯨の攻撃

捕鯨攻撃 は、信頼できる連絡先や同僚になりすますことで、経営者や最高経営責任者など、知名度の高い個人を狙います。このような電子メールは、多くの場合、企業の機密情報の取得や不正な金融取引の開始を目的としています。VEC(Vendor Email Compromise)は、関連する脅威で、攻撃者がベンダー企業の従業員を危険にさらし、ビジネス関係を悪用するもので、不正な支払いを承認するために役員になりすますこともあります。例えば、日本経済新聞社は、アメリカ支社の従業員が経営幹部になりすました詐欺師の指示に基づいて送金し、2900万ドルを失った。

4.ファーミング

ファーミングは、ユーザーが知らないうちに偽のWebサイトに誘導することです。サイバー犯罪者は、DNS(Domain Name System)サーバーの脆弱性を悪用したり、悪意のあるソフトウェアを使ってDNSの設定を変更することで、ユーザーが正規のURLを入力してもフィッシングサイトに誘導する。

5.ビジネスメール詐欺(BEC)

BECとは、攻撃者が企業の電子メールアカウントにアクセスし、そのアカウントを使用して所有者になりすまし、多くの場合、企業やその従業員、顧客、またはパートナーを詐取することです。FBIの2019年インターネット犯罪報告書によると、BEC詐欺の被害額は17億ドルを超え、サイバー犯罪被害の半分以上を占めている。これは非常に有利な攻撃形態であるため、依然として人気の高いサイバー脅威となっている。例えば、コロラド州のある町では、攻撃者が地元の建設会社の電子支払いを要求するフォームを送信し、従業員を騙して支払い情報を更新させ、資金を流用したため、100万ドル以上の損失を被った。

フィッシングメール例

フィッシングメールの例をいくつかチェックし、同じようなメールを受け取るたびに疑心暗鬼になるようにしましょう:

1."緊急アカウント認証"

フィッシング・メールは、アカウント情報の確認やセキュリティ設定を更新するためのリンクのクリックなど、緊急の要求をすることがよくあります。このような要求は、緊急性を感じさせ、メールについて批判的に考える可能性を低くするように設計されています。

緊急のアカウント確認

2."宝くじ当選のお知らせ"

このフィッシングメールは、あなたが宝くじに当選したと主張し、賞金を請求するために個人情報を提供するよう求めます。このメールは、一見、正規の宝くじ会社からのもののように見えますが、実は偽物です。フィッシングメールは、あなたの個人情報を使って、なりすましやその他の犯罪を行います。

宝くじ当選のお知らせ

3."重要なセキュリティアップデート"

このフィッシング・メールは、お使いのソフトウェアに重要なセキュリティ・アップデートがあると主張し、リンクをクリックしてダウンロードするよう求めます。このメールは、正規のソフトウェア会社からのもののように見えますが、実は偽物です。このリンクは、実際にはマルウェアを含むウェブサイトへと誘導します。マルウェアをダウンロードすると、フィッシャーはあなたのコンピュータをコントロールできるようになります。

4."緊急電信送金依頼"

このフィッシングメールは、緊急の電信送金の依頼があると主張し、銀行口座情報を提供するよう求めます。このメールは一見、正規の銀行からのように見えますが、実は偽物です。フィッシャーはあなたの銀行口座情報を使ってお金を盗みます。

5."買収秘密情報"

このフィッシングメールは、あなたが極秘の買収情報を受け取るために選ばれたと主張し、リンクをクリックしてダウンロードするよう求めます。このメールは一見、正規の企業から送られているように見えますが、実は偽物です。このリンクは、実際にはマルウェアを含むウェブサイトへと誘導します。マルウェアをダウンロードすると、フィッシャーはあなたのコンピュータをコントロールできるようになります。

フィッシングメールから身を守る

フィッシング・メールから身を守るためには、個人も組織も、警告のサインを見逃さず、突然の誘惑に負けないように警戒し、フィッシング・メールを検知する訓練をし、セキュリティ強化のために必要なプロトコルやツールを導入しなければならない。IDCによると、2022年には1,337億ドルに達すると予測されており、セキュリティ・ソリューションへの世界的な支出はこのニーズを反映している。

フィッシングメールから身を守るために

#その1 疑心暗鬼になる

特に、個人情報や緊急の行動を要求する迷惑メールには十分注意してください。

#その2 送信者を確認する

メールアドレスやドメインが正式な提供元と一致しているかどうか、よく確認してください。

リンクにカーソルを合わせると、クリックする前に実際のURL先が表示されます。

#その4 機密情報の共有は避ける

合法的な組織が電子メールで機密情報を求めることはほとんどありません。

#その5 ソフトウェアを常にアップデートする

OS、ウイルス対策ソフト、Webブラウザを定期的にアップデートし、セキュリティの脆弱性を修正する。

#6 メール認証の導入

による電子メール認証 SPF, DKIMおよび DMARCは、フィッシングメールからお客様のドメインを保護し、送信者を認証してなりすましの試みを最小限に抑えるために非常に重要です。DMARCテクノロジーは、SPFおよびDKIMと連携し、認証されていないメールに対するアクションを決定することで、標的型BEC攻撃の防止に特に効果的です。DMARCは、電子メールのアクティビティに関する詳細な洞察を提供するレポートを通じて可視性を高め、なりすましの脅威に対する追跡と迅速な対応を可能にすることでセキュリティを強化します。

フィッシングメールの報告

フィッシングメールを受け取ったと思われる場合は、次のようにしてください:

  1. メールプロバイダーに通知する: ほとんどのメールサービスでは、フィッシングメールを報告するための仕組みが用意されています。メールをスパムとしてマークしたり、フィッシングを報告するオプションがあることを確認してください。
  2. フィッシング対策団体に報告する: アンチフィッシング・ワーキング・グループ(APWG)やインターネット犯罪苦情センター(IC3)などの組織は、サイバー犯罪者に対して対策を講じるのに役立ちます。
  3. なりすました団体に連絡する: フィッシングメールが信頼できる組織を装ったものである場合、その組織に通知し、顧客を保護するための適切な措置を講じるようにします。

まとめフィッシングの一歩先を行く

フィッシングメールは、BECやVECのような巧妙な攻撃へと進化し、多大な金銭的被害をもたらすなど、個人にとっても組織にとっても大きな脅威であり続けています。サイバー犯罪者の手口を理解し、セキュリティ対策を講じることで、詐欺の被害に遭うリスクを最小限に抑えることができます。常に警戒を怠らず、機密情報をクリックしたり共有したりする前によく考え、疑わしいメールがあれば報告することで、自分自身や他の人を守ることができます。DMARCのような強固なメール認証を導入することは、ドメイン偽装に対する防御を強化する鍵です。

お問い合わせフィッシングをはじめとする電子メールによる脅威に対する高度な保護と、実際の結果を示す戦略の策定をお任せください!

 

最新記事 by Ahona Rudra(全て見る)
DKIM none メッセージが署名されていない」を修正する - トラブルシューティングガイド"DKIMなしメッセージが署名されていない "の修正方法メールを使った攻撃とは何か、その対策について電子メールを使った攻撃とその防止策とは?