フィッシングメールは、受信トレイに潜む変装した詐欺師のようなものです。信頼できる送信元を装い、あなたを欺いて操作し、機密情報を明かさせたり、有害な行動をとらせたりすることを目的としています。 メールフィッシングは、90年代半ばにAOLの初期ユーザーが経験したような、ランダムなクレジットカード番号生成ツールを使った単純な悪戯から、高度ななりすまし手口を用いる世界中のハッカーによる、洗練され、極めて利益率の高い活動へと、長年にわたり進化してきました。これは、人間の弱さや騙されやすさにつけ込む、デジタル上の詐欺師のような存在です。
個人情報の盗難、金銭的損失、アカウントへの不正アクセスなど、壊滅的な結果につながる可能性があります。ベライゾンの2019年データ漏えい調査報告書によると、その年に発生したデータ漏えいの約32%にフィッシングメールやソーシャルエンジニアリングが関与しています。フィッシングメールの唯一の目的は、あなたを欺き、搾取することですから、用心深く、懐疑的になりましょう。
主なポイント
- フィッシングメールは、信頼できる発信者を装って受信者を欺き、多くの場合、ソーシャルエンジニアリングや緊急性を煽る手法を用いて、機密情報を引き出したり、有害な行動をとらせたりしようとします。
- BEC(ビジネスメール詐欺)攻撃により、企業は毎年数十億ドルの損害を被っている。
- 差出人のメールアドレス、定型的な挨拶、文法やスペルの誤り、および不審な個人情報の要求がないか確認してください。
- 知人からの予期せぬ添付ファイルは、見知らぬ人からのものよりも危険な場合が多い。乗っ取られたアカウントは、信頼している相手に悪意のあるファイルを送信するために利用される
- メール認証(SPF、DKIM、DMARC)の導入は、ドメイン保護において極めて重要であり、なりすましやスプーフィングの試みに対して可視性と制御機能を提供します
フィッシング・メールとは?
フィッシングメールとは、受信者をだまして機密情報を開示させたり、悪意のあるリンクをクリックさせたり、マルウェアをダウンロードさせたり、あるいは不正な操作を承認させたりすることを目的とした詐欺メールのことです。
こうしたメールは、銀行、同僚、IT部門、配送業者、経営幹部など、信頼できる組織や人物を装っていることがよくあります。攻撃者は、見慣れたブランド名や緊急性を煽る表現、本物そっくりの書式を用いることで、メッセージを正当なものに見せかけようとします。
現代のフィッシングメールは、個人向けにカスタマイズされ、状況に応じた内容であり、本物のビジネスメールを模倣するように巧妙に作られているため、見破るのがますます難しくなっています。
PowerDMARCでフィッシング・セキュリティを簡素化!
フィッシングメールはどのような仕組みになっているのか?
フィッシングメールの手口は、決して秘密ではありません。それらはすでに十分に記録され、研究され、対策の訓練も絶えず行われていますが、それでもなお効果を発揮します。なぜなら、それらはソフトウェアの脆弱性を突いているわけではないからです。それらは、プレッシャー下で人が情報を処理する仕組みを悪用しているのです。
1. 攻撃者は信頼できる送信者を装う
フィッシングメールはすべて、なりすましから始まります。差出人の名前は一見正当に見え、ドメインも一見して問題ないように見えます(ほとんどの人はアドレス全体を確認することはおろか、ヘッダーを精査することさえありません。攻撃者は、その前提に基づいてキャンペーン全体を構築しているのです)。書式や口調、ロゴは、見慣れたもののように感じられるよう巧妙に作られており、不審に思って立ち止まることさえありません。
2. そのメッセージは緊急性を喚起する
フィッシングメールは、恐怖心を煽ることで緊急性を演出します。支払いの失敗や、重要なアカウントへのアクセス停止などがその手口です。こうしたプレッシャーは、ユーザーが確認手順を省略し、即座に行動を起こすように仕向けるために仕組まれたものです。
訓練を受けたセキュリティの専門家や、フィッシング対策の研修を受けたことのある人々でさえ、この手口に引っかかることがあります。不安を感じる反応は懐疑的な反応よりも速く、攻撃者はその反応をいかに引き出すかを熟知しているのです。
3. ソーシャルエンジニアリングが大きな役割を果たす
フィッシングは、技術的なインフラを完全に迂回して、パッチを当てることができない要素、つまり、プレッシャーや権威、そして時間がなくなっているという感覚に対して人々がどう反応するかという点を狙うのです。
攻撃者は、LinkedInから入手したあなたの名前や会社名、時には上司の名前を利用します。彼らはあなたのCEOや、実際に取引のあるベンダーになりすまします。そして、「1時間以内に行動しないとアクセス権を失う」「今すぐ確認しないと支払いが失敗する」といった期限を迫ってきます。その 「FOMO(取り残される不安)」 は人為的に作り出されたものですが、それが引き起こす不安は本物です。
4. 悪意のあるリンクや添付ファイルが被害をもたらす
添付ファイルやURLは、本物と見分けがつかないように作られています。これらをクリックすると、偽のログインページに誘導されます。このページは正規のサイトを巧妙に模倣しており、注意深く見ない限り見破ることは困難です。ログイン情報を入力すると、何かおかしいと気づく間もなく、その情報はリアルタイムで即座に盗み取られてしまいます。
5. 機密データが収集される
彼らはしばしば、あなたのユーザー名やパスワード、 クレジットカード情報、社会保障番号、あるいは転売価値のあるものや直接的なアクセス権限を持つあらゆる情報を狙っています。その一部はアカウント乗っ取りや金融詐欺に即座に利用され、残りは転売されます。いずれにせよ、たった1通のフィッシングメールが成功するだけで、その後数ヶ月にわたって攻撃の温床となる可能性があります。
6. 盗まれたデータが活用される
攻撃者があなたの認証情報を入手すると、即座に行動を開始します。アカウントへの不正アクセスは数時間、場合によっては数分以内に発生します。金融詐欺、ダークウェブのマーケットプレイスでの認証情報の大量転売、そしてあなたの受信箱から入手したばかりの個人情報を利用したスピアフィッシング攻撃などが続きます。
フォローアップ型スピアフィッシングとは、基本的に追撃型の攻撃であり、攻撃者は一度成功したフィッシングメールのデータを流用し、それを基に、より標的を絞った次の攻撃を仕掛けるものです。
フィッシングメールの見分け方と注意すべき点
フィッシングメールは、見分け方を熟知している人でさえ騙されるほど巧妙になっています。そのため、メールを開いたりリンクをクリックしたりする前に、一旦立ち止まって、そのメールの信憑性を確認することが大切です。
- まず送信者アドレスを確認してください。
- 実際のドメインを確認してください。
- 件名や本文を読み返し、文法ミスや不自然な表現、一見正しいように聞こえるが実はそうではないような表現など、少し違和感のある表現がないか確認してください。
- 普段なら確認しようと思う前に、急いで行動するよう促すような、焦りを煽るようなメールには注意してください。
重大な危険信号のチェックリスト
その中には明らかなものもありますが、知っておく価値のあるものもあります
- デザインの不統一:ロゴのバージョンが一致していない、フォントがわずかに異なる、実際のブランドで使用されている色と一致しない
- 予期せぬ支払いの請求:特に新しい銀行口座情報が記載された、緊急の請求書や請求通知
- 経営陣を装った詐欺:経営幹部から送られてきたかのように見せかけた送金依頼や機密情報の提供を求める連絡
- QRコード:予期せぬQRコードは、自動スキャンではリンク先のURLが確認できないため、ほとんどのメールセキュリティフィルターをすり抜けてしまいます。スマートフォンは、ブラウザが行うような検査を経ずにそのリンクにアクセスしてしまいます
- ディープフェイク/動画詐欺:合成音声や合成動画を用いた手口が活発に利用されており、2020年の攻撃では 複製された音声通話を利用して3,500万ドルの送金を承認させた
- MFAプッシュ攻撃:攻撃者が、あなたが承認して攻撃を止めさせることを期待して、認証リクエストを繰り返し送信する攻撃。
- アクティビティアラート:「アカウントを保護する」ためにリンクをクリックするよう求める不審なログイン通知
-
一般的な挨拶・敬語
例:「お客様各位」「ユーザーの皆様」など。あなたのアカウントを管理している企業なら、あなたの名前は把握しています。このような定型的な挨拶文は、そのメールがあなた個人に向けて書かれたものではなく、一般的なメーリングリスト向けに作成されたものであることを示しています。
-
個人情報の開示請求について
銀行がメールでパスワードを尋ねることはありません。IT部門がリンクを通じて「認証情報の確認」を求めることもありません。通常なら安全な手順を経るべき手続きについて、メールでその手順を省略するよう求められた場合は、それが詐欺の兆候です。
-
異常な送信者メールアドレス
表示名は誰でも自由に設定できます。重要なのは実際のドメイン名です。その組織の公式な連絡内容と照らし合わせて確認してください。文字が1つ入れ替わっていたり、ハイフンが入っていたり、TLDが違っていたりする場合があります。急いでいると見落としがちですが、こうしたメールはまさにそんな時に届きやすいものです。
-
予期せぬ添付ファイルやダウンロード
特に知り合いからのもの。 悪意のある添付ファイル は、見知らぬ人からのものよりも危険です。なぜなら、知り合いからのものだと疑うことが少ないからです。予期していないファイルが届いた場合は、開く前に必ず確認してください。PowerDMARCのリアルタイムアラートは、不正な送信者があなたのドメインを使用しようとした際に警告を発し、なりすましの試みを受信箱に届く前に検知します。
フィッシング攻撃の種類(メールの例付き)
スプーフィング、スピアフィッシング、ホエーリング、ファーミング、BECなどが一般的なフィッシングメールの種類です。被害者のプロファイルや手口は若干異なるものの、組織や個人に被害をもたらす可能性が高い。
比較表:フィッシング攻撃の種類
| 攻撃タイプ | 攻撃ベクトル | 代表的なターゲット | 主な特徴 |
|---|---|---|---|
| なりすましメール | 電子メール | 一般の方 | 偽装された送信者アドレス |
| スピアフィッシング | 電子メール | 特定の個人 | 高度にパーソナライズされたコンテンツ |
| 捕鯨 | 電子メール | 経営幹部 | 役員になりすます |
| ビッシング | 電話番号 | 一般の方 | 音声を用いた欺瞞 |
| スミッシング | SMS | モバイルユーザー | SMSの配信 |
1.電子メールのなりすまし
2019年9月、 トヨタは3,700万ドルの損失を被った 。これには、たった1人の従業員と、1通の説得力のあるメールだけで十分だった。送信者は正当に見え、依頼内容ももっともなもので、送金が実行される前に確認の電話をかける者はいなかった。
メールのなりすましでは、送信者アドレスが偽造され、銀行や政府機関、あるいは社内の幹部など、標的が疑いも持たずにすぐに行動を起こしそうな人物からのものに見えるように仕組まれます。メールの内容が完璧である必要はありません。火曜日の午後に多忙な人が、わざわざ送信元のドメインを詳しく確認する手間を省いてしまうほど、十分に説得力があるだけでよいのです。
DMARCの適用により、これはプロトコルレベルで阻止されます。ドメインのDMARC設定が p=rejectに設定されている場合、そのドメインからの送信を装った未認証のメールは、受信トレイに届く前に拒否されます。 PowerDMARC は、その適用を処理し、ドメインを名乗って送信されたすべてのメールを可視化します。
2.スピアフィッシング
通常のフィッシングは広範囲に及ぶ。 スピアフィッシング はその対極にあり、事前に調査された単一の標的に対し、その人物に合わせて特別に作成されたメールを送るものです。
攻撃者は、LinkedInや会社のウェブサイト、プレスリリースなど、入手可能なあらゆる情報源から、あなたの氏名、役職、上司、そしてあなたが公に関与しているプロジェクトなどを収集します。そして、あたかもあなたの身近な世界から発信されたかのように感じられるよう、十分な現実的な文脈を盛り込んだメッセージを作成します。「お客様各位」といった形式ではなく、あなたの本名や所属会社、時にはあなたが迷わず信頼する同僚の名前までが用いられることもあります。
こうした個別化の手法こそが、スピアフィッシングメールに対する対策トレーニングを困難にしている要因です。一般的なセキュリティ意識向上トレーニングでは、ありふれた攻撃を見抜く方法を教えます。しかし、スピアフィッシングはありふれた攻撃とは異なり、あなたを知っている人物から送られてきた普通のメールのように見えます。そのため、クリック率の面では、広範囲を対象としたフィッシングキャンペーンよりも常に高い成果を上げているのです。
3.捕鯨の攻撃
日経株式会社は2900万ドルの損失を被った 同社の米国オフィスに勤務する従業員が、経営幹部を装った人物からの指示に基づき資金を振り替えたためである。マルウェアやシステムの侵害は一切なかった。単に、正当な人物から送られてきたように見えるメールで、通常の業務範囲内と思われる要求がなされただけだった。
ホエールフィッシング は、経営幹部や、財務上の権限を持つ従業員、あるいは機密データへのアクセス権を持つ従業員を標的としたスピアフィッシング攻撃です。標的の選定は意図的なものです。攻撃者は、その見返りが大きいため、こうした標的により多くの時間を費やします。CFOや取締役、あるいは信頼できるベンダーの担当者を装った入念に作り込まれたメールにより、本来なら複数の承認プロセスを経るべき取引が承認されてしまう可能性があります。
ベンダーメール詐欺(VEC)は、同様の手口を別の角度から仕掛けるもので、攻撃者はベンダー企業の従業員を乗っ取ったりなりすましたりし、既存の取引関係を利用して、不正な支払請求を日常的な業務のように見せかけます。
4.ファーミング
ファーミング ファームングとは、すべて正しく操作したにもかかわらず、偽のサイトに誘導されてしまう攻撃のことです。
攻撃者は、DNSの脆弱性を悪用したり、悪意のあるソフトウェアを使ってDNS設定を変更したりすることで、正しく入力されたURLであっても、偽装された宛先に解決されるように仕向けます。ブラウザのアドレスバーは一見正常に見えます。カーソルを合わせれば怪しいリンクが見つかるわけでもなく、メールに明らかな不審な点があるわけでもありません。場合によってはメール自体が届かないこともあります。何十回も訪れたことのあるウェブサイトにアクセスしたつもりなのに、意図しない場所に誘導されてしまうのです。
ファーミングは、偽装されたリンクよりも検知が難しく、対策のトレーニングもさらに困難です
5.ビジネスメール詐欺(BEC)
コロラド州の コロラド州のある町で、100万ドル以上が失われた 。ある攻撃者が地元の建設会社に対して不正な支払い更新リクエストを送信したためだ。従業員が支払い情報を更新したところ、資金が横流しされた。誰かが気づく頃には、資金はすでに消えていた。
BECとは、不正アクセスを受けた正規のメールアカウント、あるいはそれに見せかけた巧妙ななりすましアカウントのことで、取引の承認、支払いの振り替え、あるいは機密データの窃取に利用されます。 FBIの2019年インターネット犯罪報告書 によると、その年のBECによる被害額は17億ドルを超え、報告されたサイバー犯罪被害総額の半分以上を占めており、それ以降もその数は増加の一途をたどっています。
BECが効果的な理由は、既知のメールアドレスや既存の取引先との関係、見覚えのある名前など、人々がすでに信頼している経路を通じて要求が届く点にあります。そのため、別の経路で確認しようと思いつく前に、承認が済んでしまうのです。
DMARCを適用することで、直接的ななりすまし攻撃の経路を遮断できます。攻撃者は、署名鍵へのアクセス権がない限り、あなたのドメインとして認証を通過するメールを送信することはできません。 PowerDMARCの リアルタイム監視機能により、認証の失敗や異常な送信パターンがインシデントに発展する前に検知されます。
従来のソリューションとは異なり、PowerDMARCは企業とMSPの両方を対象に特別に設計されており、高度なレポート機能、SPFの自動管理、マルチテナント対応のダッシュボードを提供しています。G2で当社が第1位に選ばれている理由をご覧ください。
フィッシング攻撃の種類一覧
多くの場合、電子メールが最も注目を集めますが、攻撃の経路は電子メールだけではありません。
通信を悪用したフィッシング
- ヴィッシング(ボイスフィッシング):ヴィッシングは電話を利用した手口で、攻撃者が電話をかけ、銀行やITサポート、政府機関などを装い、口頭で認証情報を渡すよう誘導します。カーソルを合わせれば表示されるリンクも、確認できる送信者アドレスもありません。あるのは、声と、もっともらしい話だけなのです。
- スミッシング(SMSフィッシング):スミッシングは、短いテキスト、緊急性を煽る文面、悪意のあるリンクを特徴とする、ヴィッシングのSMS版です。メールに比べて、モバイルユーザーはテキストメッセージ内のリンクを、より迅速かつ注意深く確認せずにクリックしがちであり、またほとんどの携帯電話ではタップする前にURLの全文が表示されないため、特にモバイルユーザーに対して効果的に機能します。
- 「クローンフィッシング」:クローンフィッシングは、自分が十分に注意していると信じている人を狙う手口です。攻撃者は、あなたが実際に受け取った本物のメールを完全に複製し、リンクや添付ファイルを悪意のあるものにすり替えて、フォローアップとして再送信します。
Webベースのフィッシング
- HTTPSフィッシング:有効なSSL証明書を持つ偽サイト。鍵のマークは、接続が暗号化されていることを示しています。しかし、その先にあるサイトが正当なものかどうかは示していません。
- ポップアップ型フィッシング:セキュリティ警告やシステムアラートを装ったブラウザのポップアップが表示され、ログインや何かのダウンロードを求められる手口
- 「イービルツイン」:カフェや空港、ホテルのロビーなどで、正規のWi-Fiネットワークと同じ名前で設定された偽のWi-Fiネットワーク。確認せずに接続してしまうと、通信データが本来あるべき場所とは異なる場所へ送られてしまう。
- ウォーターホール攻撃:攻撃者は被害者を直接標的にするのではなく、標的となる組織の従業員が日常的にアクセスするウェブサイトを乗っ取ります。感染は、あなたがすでに信頼しているサイトから発生します。不審なメールを送る必要がないため、まさにその点が発見を困難にしているのです。
高度なフィッシングの手口
- ドメインスプーフィング:攻撃者は、正規のドメインとほぼ見分けがつかないようなドメインを登録し、 rn を m、 1 for l, ハイフンを追加し、TLDを変更します。例えば、 paypa1.com。 arnazon.comなどです。特に、URL全体が画面に収まりきらないモバイルブラウザでは、一見しただけでは見分けがつかないほど視覚的に似ています。
- 画像フィッシング:テキストではなく画像内に悪意のあるコンテンツが埋め込まれているため、不審なキーワードやリンクをスキャンする自動フィルターでは検出できない。
- 検索エンジンを悪用したフィッシング:緊急の助けを必要とする人々が検索するキーワードで上位表示されるよう作られた偽サイト。「銀行のログインページ」、「国税庁の納税ポータル」、「ソフトウェアのダウンロード」など。人々は、メールを信用しないよう訓練されてきた一方で、検索結果には無条件に信頼を寄せてしまう傾向がある。
- 中間者攻撃:攻撃者はユーザーと正規サイトの間に割り込み、セッションをリアルタイムで傍受します。ユーザーは正規のページにアクセスしていると思い込みますが、技術的にはその通りです。しかし、入力した情報はすべて、まず第三者の元へと送られてしまいます。
よくあるフィッシングメールのテンプレート
これらのテンプレートは、効果を発揮し続けているからこそ、今もなお広く使われ続けているのです。ほとんどの人が、これらすべてのバリエーションを一度は目にしたことがあるはずです。
実例をさらに詳しく:以下の例には、一般的なフィッシングの手口が含まれており、各シナリオで注意すべき具体的な危険信号を指摘しています。
1. 「お客様のアカウントに警告が表示されました」
件名には、不正アクセスへの試みや、未登録のデバイスからの不審なログインなど、何らかの問題が発生している旨が記載されています。「直ちに確認を行わない場合、24時間後にアカウントが停止されます。」
読み終える前にクリックしてしまう。ログインページにたどり着いた時点で、もう後戻りはできない。リンク先は一見、まったく問題なさそうに見える。ログイン情報を入力すると、攻撃者はあなたのアカウントにアクセスできてしまう。
注意すべき点:本文に具体的なアカウント情報が記載されていない(本物の通知には通常、ユーザー名や何らかの番号の下4桁などが含まれる)、送信元ドメインが似ているが完全に一致しない、通常入力する情報以上の入力を求めるログインページが表示される。
その他の一般的なフィッシングのテンプレート
業界を問わず、よく見かけるテンプレートがいくつかあります:
- 偽の請求書詐欺:見覚えがあるような業者から、あるいは一見すると本物のように見える業者から、新しい銀行口座への支払いを求める請求書が届く。経理部門では、こうした請求書を頻繁に受け取っている。金額は通常、追加の承認が必要とならない範囲内である。
- アカウントのアップグレード詐欺:利用中のサービスのアップグレードを提案し、手続き完了のために支払い情報の入力を求める手口です。場合によっては、会社が実際に契約しているツールを装うこともあります。
- 人事関連の詐欺:銀行口座情報の更新や個人情報の確認を求める、給与や福利厚生に関する偽のメール。これらは、同様の依頼が予想され、人々が疑うことが少ない新入社員の受け入れ時期や年次加入期間に合わせて送られてくる。
- クラウドストレージ詐欺:「誰かがあなたにドキュメントを共有しました」。リンクをクリックすると、Google Drive、OneDrive、またはDropboxの偽のログインページが表示されます。ファイルを見るためにログイン情報を入力させられますが、実際にはそのようなファイルは存在しません。
2. 「宝くじに当選しました」
こうしたメールは、賞金(現金やギフトカード、あるいは曖昧な「当選金」など)が当たったと主張して受信箱に届き、賞金の受け取り手続きのために個人情報の提供を求めます。氏名、住所、生年月日、場合によっては賞金を振り込むための銀行口座情報などが求められます。送信元のドメインは実在する組織のものとは一致せず、文法も大抵おかしいものです。また、問い合わせ先として海外の電話番号や、汎用的なメールアドレスが記載されていることがよくあります。
これは現在も使われている最も古いフィッシングの手口の一つですが、今でも効果を発揮しています。すべての人を騙せるわけではありませんが、十分な数の人が引っかかるため、この手口は依然として続いています。ターゲット選定は「数」に頼っています。十分な数のアドレスに送信すれば、誰かが反応するからです。
以下の点に注意してください:応募した覚えのない賞品、賞品が「受け取れる」ようになる前に個人情報の事前提供を求められる場合、期限までに受け取るよう急かされる場合、確認可能な組織と一致しない連絡先情報。
3. 「重要なセキュリティパッチが必要です」
そのメールは、実際に利用しているソフトウェアベンダーから送られてきたように見え、件名にはCVE番号や「重大な脆弱性」といった曖昧な表現が用いられています。ダウンロードリンクと期限が記載されており、「システムが危険にさらされる前に今すぐパッチを適用してください」というメッセージが添えられています。
人々はソフトウェアをすぐに更新するように条件付けられています。この攻撃は、まさにその心理を利用しているのです。そのリンクはパッチのページにはつながりません。マルウェアをインストールするファイルへと誘導され、その内容によっては、攻撃者はそれを実行したマシンに対して、程度の差こそあれアクセス権限を得ることになります。
注意すべき点:具体的な製品バージョンが記載されていない、ベンダーの実際のドメイン以外からダウンロードを促している、クリックする前に注意深く読むことを妨げるような「至急」といった表現が使われている。
4."緊急電信送金依頼"
短いメールは、CFOやCEOといった上級幹部、あるいは時には直属の上司から送られてきたように見せかけ、「至急、送金が必要だ。今は通常のルートでは処理できない。まずは対応しておいてくれ。詳細は後で話し合おう」といった内容が書かれていることがよくあります。
その権威性と緊急性は、人為的に作り出されたものです。どちらも、別のルートで確認する前に行動を起こさせるよう仕組まれており、その確認という一手間さえあれば、必ず見抜けるはずなのです。
以下の点に注意してください:送信元ドメインが似ているが同一ではない場合、通常の承認プロセスを省略するよう求める要求、および「事前に確認すべきではない」という理由が添えられた金銭的な指示。
5."買収秘密情報"
「今後の買収に関する機密情報を受け取る対象者に選ばれました。クリックして文書にアクセスしてください」という内容のメール
この手口は、合併の詳細や競合他社の動向、内部情報など、重要な事柄に関与しているという感覚や、それに対する好奇心につけ込むものです。標的となるのは通常、財務部門や役員秘書、機密性の高いビジネス情報を扱う業務に携わっており、そのようなメールを信憑性のあるものだと感じる可能性のある人々です。
その文書は存在しません。そのリンクをクリックするとマルウェアがインストールされます。何かおかしいと気づく頃には、すでにマルウェアは動作しています。
以下の点に注意してください:これを受け取った理由を説明できるような事前のやり取りや背景がない、何かを表示するためにダウンロードが必要とされる、他の手段では送信者を確認できない。
フィッシング攻撃が企業を標的にする方法
個人にとって、フィッシング攻撃が成功すれば、認証情報の盗難やなりすまし詐欺につながります。企業の場合、被害は多方面に同時に波及し、組織が被るフィッシング攻撃による総コストは、ほぼ例外なく初期の金銭的損失を上回ります。
フィッシングが企業に与える経済的影響
- 直接的な金銭的損失:ビジネスメール詐欺(BEC)は、電信送金詐欺、支払いの横流し、不正取引につながります。偽の請求書、CEO詐欺、仕入先への支払いの転送などが、最も一般的な手口です。
- 規制上の罰則:フィッシングに関連するデータ漏洩が発生した場合、GDPRに基づき年間売上高の最大4%に相当する罰金が科される可能性があります。さらに、HIPAAやPCI DSSへの違反に対しては、これとは別に独自の罰則規定が適用されます。
- 復旧コスト:インシデント対応、フォレンジック調査、システムの修復には、あっという間に多額の費用がかかります。フィッシング攻撃を受けた組織は、復旧コストが最も予想外の高額だったと述べています。
フィッシングによる業務への支障
- 事業中断:IT部門が侵害の封じ込めを行っている間のシステム停止。影響を受けたインフラにアクセスできないチーム全体での生産性の低下。企業が社内の対応を完了する前に、顧客が気付くサービスの中断。
- データ漏洩:顧客情報、知的財産、あるいはその両方が流出する場合があり、それぞれに独自の通知義務と法的リスクが伴います。
- 評判の失墜:数値化は困難ですが、回復もより困難です。フィッシング関連の侵害が発生した後、顧客の信頼はシステムの復旧と同じペースで回復するものではありません。
PowerDMARCが企業のメールフィッシング攻撃からどのように守るのか
メールドメインのなりすましは、BEC攻撃の大部分の侵入経路となっています。多くの組織では、DMARCを導入していないか、あるいはp=none(監視のみモード)のままであり、これにより状況は把握できるものの、攻撃をブロックすることはできません。 PowerDMARC は、組織を完全な p=reject へと移行させます。これにより、正当なメールの流通を妨げることなく、なりすましメールを配信前にブロックします。その仕組みは以下の通りです:
- DMARC適用ガイド:p=noneからp=quarantine、そしてp=rejectへと段階的に移行する体系的な移行パス。パーセンテージに基づくポリシーの段階的強化により、適用基準を徐々に厳格化します。ワンクリック DNS公開 および ホスト型DMARCレコード により、チームは手動でのDNS編集を行うことなく、ダッシュボードから直接ポリシーを更新できます。
- AIを活用した脅威インテリジェンス:AIエンジンは数百万件の DMARC集計(RUA)およびフォレンジック(RUF)レポートの データポイントを処理し、未知の送信IPを自動的に分類することで、設定ミスのあるCRMやマーケティングプラットフォームと、悪意のあるなりすまし攻撃とを区別します。検出時間は、手動でのXML解析に数日かかっていたものが、数分に短縮されます。
- 電子メール認証プロトコルの包括的な対応:DMARC、SPF、DKIMに加え、PowerDMARCは以下を管理します MTA-STS (受信メールへのTLS暗号化を強制し、傍受を防止)、 TLS-RPT (トランスポート層セキュリティ報告)、および BIMI (受信者の受信トレイに認証済みのブランドロゴを表示)。これら6つのプロトコルすべてを単一のダッシュボードから管理できます。
- 複雑な送信環境向けのPowerSPF:複数のメール送信サービスを利用している組織では、SPFのDNSルックアップ回数制限(10回)に頻繁に到達し、その結果、正当なメールの認証に失敗してしまうことがあります。 PowerDMARCのホスト型SPFフラットニング は、継続的な手動メンテナンスを必要とせずにこの問題を解決します。
- チーム横断で活用できるレポート機能:生のXMLデータを、地理情報マップ、ソース識別(各IPの背後に存在するサービスの特定)、および傾向分析を備えた視覚的なダッシュボードに変換します。コンプライアンス監査や経営層向け報告用に、ワンクリックでPDFへのエクスポートが可能です。
MSP/MSSPの皆様へ:PowerDMARCのマルチテナントプラットフォームなら、単一のダッシュボードからすべてのクライアントドメインを一元的に管理・保護できます。完全なホワイトラベル対応に加え、SOC2 Type 2、ISO 27001、およびGDPRへの準拠認証を取得しています。100カ国以上、2,000を超える組織や政府機関から信頼されています。
全体として、このシステムは最も困難な部分、つまりp=rejectの状態へ安全に移行するプロセスを自動化します。これにより、偽造請求書やCEO詐欺の試みが受信トレイに届く前に、保護機能が有効になります。
PowerDMARCの実際の動作をご覧ください
PowerDMARCが、正当なメールの配信を妨げることなく、お客様のドメインを完全なDMARC適用へと移行させる仕組みを、個別デモでご確認ください。
AIや最新技術を活用した新たなフィッシング手口
長年にわたり、文章の拙さ、不自然な表現、明らかな誤り、そして一見すると意味が通じそうな文章などは、フィッシングメールの確実な兆候とされてきました。ここでは、攻撃者が新しい技術を活用して、より巧妙なフィッシングメールを作成している実態をご紹介します:
AIを活用したフィッシング
- AI生成メール:AIによって生成されたフィッシングメールは、文法的に正確で、文脈的にも説得力があり、公開されているデータを活用して大規模にパーソナライズできるため、もはや見破る手がかりがありません。
- ディープフェイク音声・動画:ディープフェイク音声技術は、多くの人が思っている以上に進歩しており、メールを介する必要すらありません。ただ、本物そっくりの声と、通常の業務範囲内と思われる依頼があれば十分なのです。合成動画も同様の道をたどっています(現時点では攻撃に利用されることはまだ少ないですが、その技術はすでに存在し、進化を続けています)。
- 自動化されたスピアフィッシング:かつてスピアフィッシングには手作業による調査が必要で、標的1人あたり数時間の作業を要していました。AIの導入により、その作業時間は数秒にまで短縮されました。かつては重要度の高い標的に限定されていた攻撃が、今では誰に対しても経済的に実行可能なものとなっています。
高度な技術的手法
- 機械学習による検知回避:セキュリティフィルタでは、不審なパターンを検知するために機械学習がますます活用されるようになっています。攻撃者は現在、こうしたフィルタを調査・回避するために特別に設計されたフィッシングキャンペーンを展開しており、大規模に展開する前に、検出システムに対してさまざまなバリエーションをテストしています。
- 敵対的AI:AIを活用してセキュリティシステムに対する攻撃の有効性を検証・改善する
- 動的コンテンツ生成:被害者の行動に基づいてフィッシングコンテンツをリアルタイムで生成する
注意すべき新たな危険信号
- 完璧な文法:文章があまりにも洗練されすぎており、具体的すぎるメール。
- ハイパーパーソナライゼーション:一般的なメーリングリストが把握できる範囲を超えたパーソナライゼーション。
- 音声・ビデオ通話に関するリクエスト:何らかの操作や承認を求める、予期せぬ音声通話やビデオ通話。自身がリクエストしていない多要素認証(MFA)の要求。最近の出来事を参照しているかのように見え、どこか不気味な印象を与えるコンテンツ。
- 時間依存型AIコンテンツ:急速に変化する、または適応型のフィッシングコンテンツ
従来の危険信号――送信者アドレスの不審な点、緊急性を煽る文面、不自然な要求――は依然として存在しています。しかし、それらに加え、全く逆の方向を指し示す新たな危険信号も現れています。それは、洗練され、個人向けにカスタマイズされ、不気味なほど的確なものなのです。
PowerDMARCのAIを活用した脅威インテリジェンスは、ドメイン横断的な攻撃パターンを継続的に分析し、AIが生成したメールが受信トレイに届く前に、認証の異常やなりすまし試みをリアルタイムで検知します。
フィッシングメールから身を守る
フィッシング攻撃は、あまりにも多くの経路で展開され、その手口も急速に変化し、プレッシャー下にある人間の判断力を巧みに利用するため、パッチを当てて防ぐことはできません。フィッシングメールから身を守る方法は以下の通りです:
組織におけるベストプラクティス
- 従業員研修:まずは従業員研修から始め、継続的に実施しましょう。単なる動画による一回限りの研修ではなく、実際にフィッシングメールを従業員に送信し、その反応を追跡した上で、クリックした人に対して個別にフォローアップを行うといったシミュレーションを行うべきです。重要なのは、誰かを「見破ること」ではありません。クリックする前に一旦立ち止まるという反射神経を身につけさせることであり、その反射神経は繰り返しを通じてのみ養われるものです。年1回のセキュリティ意識向上研修では、そのような習慣は身につかないのです。
- インシデント対応:セキュリティ対策をかいくぐって侵入されることは必ず起こりますが、多くの人は恥ずかしさや不安、あるいは誰に報告すべきかわからないといった理由で、すぐには報告しません。報告プロセスは、ボタン一つ、連絡先一つで、10秒で完了するような、手間のかからないものでなければなりません。「クリック」から「封じ込め」までの時間は、実際にその状況に直面するまで、多くのチームが思っている以上に重要です。
- 技術的対策:メールフィルタリングとエンドポイント保護により、既知の脅威を検知・阻止します。巧妙に作り込まれたスピアフィッシング メール は、ブロックリストには登録されていません。とはいえ、フィルタリングが無意味というわけではありませんが、それだけでは不十分です。
- 報告手順:明確なエスカレーション手順と連絡手順。
- メール認証 (DMARC、SPF、DKIM):優先すべき具体的な対策。適用時には、DMARCは認証を通過したメールをあなたのドメインとして送信することを誰にも許しません。多くの組織がDMARCの存在を知っていますが、p=noneから完全な適用へと移行した組織はごくわずかです。PowerDMARCはその移行を自動化します。詳細な内訳については、上記のセクションをご覧ください。
個人向けのフィッシング対策のヒント
- 疑ってかかること: 表示名ではなく、実際の送信者アドレスを確認してください。リンクをクリックする前に、カーソルを合わせて確認してください。
- 不審なリンクはクリックしないでください: メールで認証情報、銀行口座情報、または機密性の高い情報の入力を求められ、その要求が通常とは異なる手順で行われている場合、その不一致こそが危険信号です。
- 機密情報の共有は避けてください: 銀行がパスワードを入力させるためのフォームを送ってくることはなく、IT部門がリンクをクリックして「ログインの確認」を求めることもありません。
- 不審な依頼については別の手段で確認する:メールで電信送金、支払状況の更新、または機密情報の提供を求められた場合は、メールに記載されている電話番号ではなく、あらかじめ記録している番号を使って送信者に直接電話をかけてください。
- ソフトウェアを最新の状態に保つ: セキュリティ上の脆弱性を修正するため、オペレーティングシステム、ウイルス対策ソフト、およびウェブブラウザを定期的に更新してください。
- メール認証の実装:導入 SPF、 DKIM、および DMARC をドメインに導入します。これらを組み合わせることで、送信元を検証し、認証されていないメールが受信トレイに届く前に拒否します。PowerDMARCは、自動化されたSPFフラット化、ホスト型DKIM、そして分かりやすいレポートダッシュボードにより、複数のドメインにわたるこのプロセスを簡素化します。
フィッシングメールの報告
フィッシングメールを受け取ったと思われる場合は、次のようにしてください:
- メールプロバイダーへの通報:ほとんどのメールサービスには、フィッシングメールを通報する仕組みが用意されています。「スパムとして報告」や「フィッシングとして通報」といったオプションを探してください。
- フィッシング対策団体への通報:Anti-Phishing Working Group(APWG)やInternet Crime Complaint Center(IC3)などの団体は、サイバー犯罪者に対する対策に役立ちます。
- なりすまされた組織への連絡:フィッシングメールで信頼できる組織になりすまされている場合は、その組織に連絡し、顧客を保護するための適切な措置を講じてもらえるようにしてください。
最後に、進化し続けるフィッシング攻撃から組織を守るために必要な可視性、自動化、そして専門家のサポートを提供するプラットフォームをご利用ください。
お問い合わせ フィッシングやその他のメールを悪用した脅威から確実に身を守るための対策について、ぜひ本日お問い合わせください。確かな成果をもたらす戦略を、お客様に合わせてご提案いたします!
フィッシングに関するよくある質問
フィッシングメールの最も一般的な例にはどのようなものがありますか?
最も一般的なフィッシングメールには、緊急のアカウント確認依頼、偽の宝くじ当選通知、セキュリティ更新を装った詐欺、送金依頼、および機密情報の提供を装ったメールなどがあります。こうしたメールは通常、緊急性や恐怖心、あるいは欲を利用し、受信者を操って機密情報を開示させたり、悪意のあるリンクをクリックさせたりしようとします。
詐欺師は電話番号だけであなたの銀行口座にアクセスできるのでしょうか?
電話番号だけでは銀行口座に直接アクセスすることはできませんが、詐欺師はそれをSIMスワッピング攻撃やソーシャルエンジニアリングに利用したり、多要素認証の回避を試みる手段として使ったりすることがあります。また、詐欺師は電話番号を利用して、ボイスフィッシング(音声によるフィッシング)の電話を通じて追加の個人情報を収集し、最終的に口座へのアクセス権を奪おうとする場合もあります。
組織はビジネスメール詐欺(BEC)からどのように身を守ればよいでしょうか?
組織は、電子メール認証プロトコル(DMARC、SPF、DKIM)、従業員への教育、金融取引の確認手順、および高度な脅威検知システムを通じて、BECから身を守ることができます。PowerDMARCは、リアルタイムの監視と自動化された脅威対応により、包括的なBEC対策を提供します。
フィッシングリンクをクリックしてしまった場合はどうすればいいですか?
フィッシングリンクをクリックしてしまった場合は、直ちにインターネット接続を切断し、ウイルス対策ソフトによるフルスキャンを実行し、重要なアカウントのパスワードをすべて変更し、金融関連のアカウントで不審な動きがないか確認し、IT部門または関係当局に報告してください。また、二要素認証などの追加のセキュリティ対策を導入することも検討してください。
AIを活用したフィッシング攻撃は、従来のフィッシング攻撃とどのように異なるのでしょうか?
AIを活用したフィッシング攻撃は、文法が完璧であることや、ソーシャルメディアのデータに基づいた高度なパーソナライズ、リアルタイムでの適応能力など、より高度化しています。こうした攻撃にはディープフェイクの音声や動画が組み込まれている場合もあり、機械学習を活用した回避技術を用いて、従来のセキュリティフィルターをすり抜けるよう設計されています。
- 人事部門のメールおよび給与計算のセキュリティ:グローバルチームのためのベストプラクティス - 2026年6月22日
- Microsoft Entra でリスクの高い AI エージェントをブロックする方法 - 2026年6月15日
- Office 365 フィッシング対策ポリシー:設定方法 - 2026年6月3日
