アイスフィッシング」とは何ですか?
デジタルの世界では、匿名での送金が多くのリスクを伴うかどうかについて多くの議論がなされてきた。しかし、それは事実である。最近、「アイス・フィッシング・アタック」と呼ばれるフィッシング詐欺がインターネット上で急増している。暗号市場は私たちの目と鼻の先で爆発的に成長しており、暗号資金を調達して財政を拡大するためにブロックチェーンに匿名で登録する人が増えている。すべてが魔法のように聞こえるが、現実はそうでもない。
マイクロソフトは最近、ブロックチェーンとWeb3環境を特に標的としたフィッシング攻撃の亜種である可能性があるとして、ユーザーに対して警告を発しました。この全く新しい警戒すべきブロックチェーン詐欺は、"Ice Phishing "と呼ばれています。
暗号を使わない読者のために、「アイスフィッシング」とは何かを説明する前に、いくつかの基本的な概念を簡単にまとめておきます。
データの非中央集権化とブロックチェーン
データ分散とは、特定の団体にデータが集中するのではなく、分散したネットワーク上にデータの権限が分散しているデータモデルを指す。データを扱う関係者間の相互依存を減らすことで、「人は皆、自分のために」という事実に忠実であり続けることができる。
ブロックチェーンは、主に暗号通貨取引のための記憶装置として機能する分散型データベースと定義することができます。デジタル的に分散・脱集中された安全な環境であるため、取引中の参加者の匿名性を維持し、またその記録も保存されます。ブロックチェーン上のすべての情報は、電子的に保存され、第三者がアクセスできない安全な空間に保管されます。
ブロックチェーンは、一度追加されると変更できない分散型台帳を保存します。各「ブロック」は、限られたスペース内に一連の取引情報を収めた独立した記憶装置として動作します。ブロックが一杯になると、次の記録を追加するために新しいブロックが作成され、前のブロックにリンクされます。これが、ブロックチェーンの特徴であるデータベースの連鎖を形成しています。
現在では、コンサルティング、統合、トークン化、管理、保守サービスを提供するブロックチェーン開発サービスがいくつかあり、組織や個人がブロックチェーンベースのソリューションを作成し、実装するのを支援している。
Web3.0とそれに伴うリスクについて
ブロックチェーン技術を基盤に構築されたWeb3.0、通称Web3は、分散型のウェブ環境であり、ユーザーは自分のデータにより多くのプライバシーを提供しながら、投資と対話することができるようになります。Web3では、データは分散化され、ユーザーだけがアクセスできる秘密鍵の助けを借りて暗号化されます。
大手ハイテク企業グループが監修した集中型サーバーにデータを保管するWeb2とは異なり、Web3はセキュリティと拡張性の面でより優れており、暗号市場の次の大きな話題となりつつある。
しかし、Web3はまだ初期段階であり、かなりの開発が必要であることに留意する必要があります。Web1.0やWeb2.0と同様に、データ漏洩やセキュリティ上の問題がないわけではありません。また、一元化されていないため、Web3にはデータ規制がなく、悪意のある行為に道を開いていることが浮き彫りになっています。
マイクロソフトがブロックチェーン上で検知した氷のフィッシング攻撃
ブロックチェーンとWeb3がこれほど安全な環境であるなら、なぜフィッシング攻撃が暗号の世界で大混乱を引き起こしているのだろうかと疑問に思うかもしれません。その答えは、ソーシャル・エンジニアリングによるものです。
攻撃者は悪と同じように賢いです。 メタバース開発サービス業界は、罪のないユーザーに危害を加える新しい方法を常に見つけている攻撃者からの悪意ある攻撃と無縁ではありません。マイクロソフトのセキュリティアナリストが指摘するように、これらの犯人は、非保護のウォレットからトークンを意図した受取人のアドレスではなく、攻撃者が管理するアドレスにリダイレクトする悪意のあるスマートコントラクトを作成・署名するようになった。これは、Web3の取引インターフェースに透明性がないために可能になっています。 トークンの変位を検出し追跡することはますます困難になっており、メタバース開発サービス企業は、これらの高度な攻撃者に先んじることが極めて重要です。
聞き覚えがあるだろうか?攻撃者が企業を詐取するために送りつけるフィッシング・メールには、似たような手口が使われている。
マイクロソフトのセキュリティ研究者が提案したように、「アイスフィッシング」を防ぐには、署名するスマートコントラクトが監査済みで変更不可能かどうかを徹底的に確認し、そのセキュリティ機能を確認するなどのいくつかの注意すべきステップを踏むことができます。
ブロックチェーンユーザーではないのですが、それでも心配する必要はありますか?
そうなんです!アイスフィッシング」はブロックチェーンやWeb3の脆弱性を利用した独特のフィッシングですが、その他にも様々なフィッシングがあらゆるレベルの個人に影響を及ぼす可能性があります。そのいくつかを紹介します。
メールフィッシング
あまりにも良さそうなメールに出会ったことはありませんか?お気に入りの商品が90%引きで買えるとか、宝くじが当たるとか?送信者アドレスが怪しいので簡単に見破れるものもありますが、もしあなたが信頼しているサービス提供元から同じメールを日常的に受け取っていたらどうでしょう?あなたはそのメールをクリックしてしまうでしょう。
フィッシングメールでは、攻撃者は送信者アドレスを偽装し、正規の送信元からのメールに見せかけて、ユーザーの認証情報を盗んだり、ランサムウェアを送り込んだりします。企業レベルのデータ漏洩や個人情報の盗難などを引き起こす可能性があります。
CEOの不正
CEOのような組織の意思決定者がなりすまされる可能性が最も高い。なぜなら、彼らは他の誰よりも重要な情報にアクセスすることができるからです。CEO詐欺とは、CEOになりすまし、従業員を騙して資金を振り込ませたり、機密データを開示させたりするフィッシングメールを指します。
捕鯨とスピアフィッシング
フィッシングの中でも、ホエール・フィッシングやスピア・フィッシングは、組織内の特定の個人をターゲットにした、高度な標的型攻撃であり、会社を詐取するものです。類似のものとして CEO詐欺また、高度なソーシャルエンジニアリングの手法を用いるため、検知や回避が非常に困難です。
フィッシングから組織を守るには?
DMARCがお役に立ちます!DMARCのような電子メール認証ソリューションを使用することで、組織において強固なフィッシング対策を展開することができます。DMARCポリシーは、フィッシングの回避に役立つだけでなく、偽メールを介して行われるダイレクト・ドメインのなりすましやランサムウェア攻撃に対する高度なセキュリティも提供します。
PowerDMARCはワンストップ DMARCソフトウェアソリューションです。当社のソリューションは実装が簡単で、競争力のある市場価格で、完全に安全で、非常に効果的です!私たちは、1000以上のグローバルブランドがフィッシングに対抗し、導入後数ヶ月でより安全なメール体験に移行できるよう支援してきました。無料の DMARCトライアル!.
- DMARCポリシーとは?なし、隔離、拒否- 2024年9月15日
- SPFエラー修正:SPFのToo Many DNS Lookups制限を克服する- 2024年4月26日
- 3ステップでDMARCレコードを公開する方法とは?- 2024年4月2日