URLフィッシングとは?

ブログ

URLフィッシングは、攻撃者がフィッシングリンクを使用してユーザーの機密情報を盗み出すサイバー攻撃の一種です。URLのフィッシングをチェックして、安全を確保しましょう。

byアホナ・ルドラ

最終更新日:
9 読了時間:約9分
URLフィッシングとは?

URLフィッシングはサイバー攻撃の一種であり、攻撃者は人々を騙して合法的に見える偽のウェブサイトを訪問させ、機密情報を盗み出す。URLフィッシング攻撃から個人情報や財務データを守るためには、URLの検証、疑わしいリンクの回避、強固なセキュリティ対策の導入といった予防策を講じる必要がある。

主なポイント

  1. URLフィッシングとは、正規のウェブサイトに似せた偽のウェブサイトを作成し、ユーザーを欺いて機密情報を提供させることである。
  2. URLフィッシングでよく使われるテクニックには、ドメイン・スプーフィング、ホモグラフ攻撃、URL短縮などがあり、これらはすべて悪意のある意図を隠すことを目的としている。
  3. フィッシングを見分けるには、URLのスペルミス、ドメイン名の確認、HTTPS暗号化のチェックなど、細部にまで目を配る必要がある。
  4. また、多要素認証を使用することで、不正アクセスに対するセキュリティのレイヤーを追加することができます。
  5. URLフィッシングから身を守るには、新たな脅威に関する情報を常に入手し、疑わしいURLを検出してブロックできるウェブ・セキュリティ・ツールを使用することも必要だ。

URLフィッシングの定義 

URLフィッシングとは、フィッシング攻撃の一種で、何も知らない被害者に、偽のWebサイトへのURLを記載した悪意のあるメールを送り、そのWebサイトを訪問するよう指示することで開始されます。

URLフィッシングは、銀行口座の情報を盗んだり、デバイスにマルウェアをインストールしたりと、さまざまな目的で使用されます。

URLフィッシングの最も一般的な目的は、ユーザーをだましてログイン情報を入力させることであり、その情報を使えば、メールやソーシャルメディアのアカウント、さらには銀行口座情報に至るまで、ユーザーのあらゆるアカウントにアクセスできてしまう。

関連する読み物 マーケターが知っておくべき5つの重要なフィッシング用語

PowerDMARCでURLフィッシングから守る!

15日間のトライアルデモを予約する

URLフィッシングの仕組み

URLフィッシングには、大きく分けて2つのステップがあります: 

  • 偽サイトの作成 
  • ユーザーを誘導するリンクを貼ったメールを配信する。

攻撃者は、類似のドメイン名やURLを用いて、正規のサイトの模倣版を作成します。 

また、ドメイン名の代わりにIPアドレスを使用することもありますが、この場合、世界中のさまざまな場所からあなたのウェブサイトにアクセスしようとすると、すべての人が同じIPアドレスで接続されないため、問題が発生する可能性があります。

模倣サイトを作成した後、フィッシングリンクを含むメールを送信します。 フィッシング・リンクそのサイトに誘導するフィッシング・リンクを含むメールを送信します。

URLフィッシングの一般的な種類とは?

ここでは、よくあるURLフィッシングの種類を紹介します:

ドメインスプーフィング

攻撃者は、URLの中に似たような文字やスペルミスを用いて正規のドメインを模倣し、ユーザーに信頼できるウェブサイトであるかのように思わせるのです。

ホモグラフ攻撃

フィッシャーは、ラテン語とキリル文字など異なる文字セットの文字を使用して、視覚的に正規のURLと同じに見えるURLを作成し、ユーザーが知らないうちに不正なウェブサイトを訪問するように仕向けます。

URL短縮

サイバー犯罪者は、URL短縮サービスを悪用して、悪意のあるURLを隠して無害に見せかけ、ソーシャルエンジニアリングの手法でユーザーを誘惑してクリックさせることがよくあります。

サブドメインハイジャック

攻撃者は、正規のウェブサイトのサブドメインを制御することで、正規に見えるが悪意のあるコンテンツやフィッシングページに誘導する不正なURLを作成することができるようになります。

タイポスクワッティング

フィッシャーは、一般的なWebサイトに似たドメイン名を登録し、ユーザーがURLを間違えて不正なWebサイトに誘導し、機密情報を盗み出すことを当てにしています。

リダイレクトとURLの難読化

サイバー犯罪者は、JavaScriptによるリダイレクトやURLの難読化などの手法を用いて、リンクの実際の目的地を隠し、良性に見せかけながら悪意のあるWebサイトにユーザーを誘導します。

マンインザミドル攻撃

攻撃者は、ユーザーと正規のウェブサイト間の通信を傍受し、ユーザーに気づかれないようにURLを変更したり、機密情報を取得したりすることができる。

ソーシャルエンジニアリング

URLフィッシャーの使用 ソーシャルエンジニアリングソーシャルエンジニアリングの技術を使い、信頼できる企業を装って不正な電子メールを送り、偽のWebサイトでログイン情報や個人情報を入力するよう促す。

クロスサイトスクリプティング(XSS)

攻撃者は、正規のWebサイトに悪意のあるスクリプトを注入し、URLを操作してユーザーをフィッシングページに誘導したり、データを盗み出したりします。

データURLフィッシングとは?

データURLフィッシング?

データURLフィッシングとは、フィッシング攻撃の一種で、悪意のある行為者がデータURLを用いてユーザーを騙し、機密情報を盗み出すことを指します。データURLは、ウェブページやその他の文書にデータを埋め込むことができるURIスキームです。data:」という接頭辞で始まり、その後にエンコードされたデータが続きます。

データURLフィッシング攻撃では、攻撃者はデータURLを含む悪意のある電子メール、メッセージ、またはウェブページを作成します。このデータURLは通常、正規のリンクや添付ファイルとして表示され、ユーザーにクリックするよう誘惑します。ユーザーがデータURLにアクセスすると、スクリプトの実行やダウンロードが開始され、さまざまな悪意のある行為につながる可能性があります。

データURLフィッシングがもたらす影響とは?

データURLフィッシングは、認証情報の盗難、マルウェアの配信、その他の脆弱性の悪用につながる可能性があります。データURLフィッシングから身を守るためには、リンクをクリックしたり、添付ファイルをダウンロードしたりする際に、特に見慣れない、または疑わしいソースからのものである場合には、注意を払うことが不可欠です。 

URLフィッシングの例

URLフィッシング

ここでは、フィッシング攻撃に使用される可能性のあるURLの例をいくつか紹介します。これらの例は、フィッシング詐欺師が、正規のウェブサイトとよく似たURLを作成する可能性があることを示すものです。フィッシングの可能性がある場合は、ドメイン名やURLの他の構成要素を注意深く精査することが重要です。

例1:

例2.

  • 正規のURLです: www.facebook.com
  • フィッシングURL:www.faceb00k-login.com

例3:

  • 正規のURLです: www.apple.com
  • フィッシングURL:www.apple-support-security-alert.com

例4:

例5:

  • 正規のURLです: www.google.com
  • フィッシングURL www.g00gle-login-attempt.com

フィッシングURLを特定・検知する方法とは?

ここでは、フィッシングURLを特定し、検出するのに役立つ簡単なヒントを紹介します:

  • スペルミスやバリエーションをチェックする:正規のウェブサイトを模倣した、URLの微妙なスペルミスやバリエーションに注目しましょう。フィッシングのURLは、似たような文字や異なる単語を使うことが多い。
  • ドメインを確認する:URLのドメイン名を注意深く調べてください。フィッシングのURLは、有名なブランドや機関に似たドメインを使用している場合がありますが、微妙に異なっています。
  • HTTPS と南京錠のマークを探してください:正規のウェブサイトは通常、HTTPSによる暗号化を使用しています。アドレスバーに南京錠のマークがあるかどうかで、安全な接続であることを確認します。HTTPSがないウェブサイトは要注意です。
  • リンクにカーソルを合わせるクリックせずにリンクの上にマウスポインターを置くと、URLが表示されます。表示されているテキストや画像と一致しているか確認し、長くて怪しいURLには注意しましょう。
  • URL短縮サービスにご注意ください:フィッシャーは、URL短縮サービスを利用して、真の目的地を隠すことがよくあります。短縮されたURLを受け取った場合は、クリックする前にURL拡張サービスを使って完全なURLを表示させましょう。
  • 見慣れないメールや不審なメールは避けましょう:見知らぬ送信者からのメールや、予期せぬ要求のあるメールには注意が必要です。メールのヘッダーに矛盾がないか、フィッシングの兆候がないかを確認する。
  • メールのリンクは別に調べる:メール内のリンクをクリックするのではなく、ブラウザでウェブサイトのアドレスを手動で入力します。これにより、フィッシングページではなく、本物のウェブサイトを訪問することができます。
  • 緊急性の高いメッセージや警告的なメッセージには懐疑的であること:フィッシングメールは、緊急性や恐怖感を煽り、すぐに行動を起こさせようとすることがあります。リンクをクリックしたり、個人情報を提供したりする前に、よく考えてみてください。
  • フィッシング検知ツールを利用する:ブラウザの拡張機能またはオンラインツールをインストールし、フィッシングの可能性があるURLを検知して警告することができます。これらのツールは、リアルタイムでURLを分析し、さらなる保護を提供することができます。
  • 常に情報を入手し、自分自身を教育する:最新のフィッシング・テクニックや詐欺の最新情報を入手しましょう。一般的なフィッシングの指標について常に情報を入手し、フィッシングURLの特定と検出について定期的に教育を受けましょう。リンク構築の機会を探っている場合は、クリックする前にURLと送信者情報を再確認し、ウェブサイトの正当性を確認しましょう。

URLフィッシング攻撃による影響とは?

URLフィッシングは、金銭的損失、風評被害、個人情報の盗難、アカウントや情報への不正アクセス、データ漏洩、法的影響につながる可能性があります。 

フィッシング攻撃は が蔓延しています。フィッシング攻撃は、世界中のあらゆる業種や国の企業をターゲットにしています。

金銭的損失と不正な取引

フィッシングメールやウェブサイトに騙され、パスワードやクレジットカード情報、その他の機密情報を共有させられてしまうことがあります。

この情報を提供すると、サイバー犯罪者はその情報を使って、あなたの名前で不正な買い物をすることができます。また、個人情報の盗難や金銭詐欺に利用されることもあります。

個人情報漏えい・個人情報漏洩について

フィッシングメールやウェブサイトに反応して個人情報を提供してしまうと、サイバー犯罪者はその情報を使ってあなたの身元を盗みます。あなたの名前で新しい口座を開設したり、あなたの情報を使ってローンやクレジットカードを申し込んだりするかもしれません。

その結果、あなたの信用度が下がり、大きな迷惑をかけることになり、さらに、犯罪者が新しいアカウントを使い切って、後で返済しなければならない買い物をした場合、あなたにお金がかかる可能性もあります。

アカウントへの不正アクセスやクレデンシャルの盗難について

フィッシング攻撃では、ユーザーがフィッシャーから送信された公式メールに見せかけたメッセージ内の悪意のあるリンクをクリックし、認証情報を入力してしまうことで、アカウントへの不正アクセスが発生する可能性があります。自動化されたデータ侵害検知システムは、従業員の認証情報が漏洩した際に即座にセキュリティチームに通知することで、このリスクを軽減します。

マルウェア感染とシステム危殆化

URLフィッシングの代表的なものとして、ユーザーを悪意のあるWebサイトに誘導する「悪意のあるハイパーリンク」が挙げられます。これらの悪意のあるウェブサイトは、ユーザーを騙して個人情報を入力させるために、正規のサイトに見せかけるように設計されていることがよくあります。そして、攻撃者はこの情報を使って、個人情報の盗難や詐欺を行います。

個人および組織への風評被害

URLフィッシング攻撃は、正規の企業や個人から来たように見せかけたスパムメールを送信することが多いため、組織の評判を傷つける可能性があります。これらのメールには通常、機密情報が含まれており、オンライン上に流出した場合、組織を危険にさらす可能性があります。このような詐欺メールに企業名が使用された場合、その企業の製品やサービスに対する顧客の信頼を失うことになりかねません。

フィッシングのURLを確認する方法は?

ここでは、フィッシングのURLを確認する方法についてすべて説明します:

  • オンラインのURL解析ツールを使って、URLの評判を確認する。
  • 悪意のあるURLを警告してくれるブラウザの拡張機能をインストールする。
  • 短縮されたリンクの後ろにある完全なURLを明らかにするために、URLエキスパンダーを使用します。
  • WHOIS検索を行い、ドメインの所有者や登録の詳細に関する情報を収集することができます。
  • PhishTankやAnti-Phishing Working Group (APWG)などのフィッシング・データベースで、報告されているフィッシングのURLを確認する。
  • ブラウザのアドレスバーがHTTPSで暗号化されているかどうかに注目し、ドメイン名が正規のウェブサイトと一致することを確認する。
  • オンラインセキュリティのコミュニティやフォーラムに参加し、フィッシングの試みに関する洞察や警告を収集する。
  • Microsoft Defender for Office 365やGmailのフィッシング検知のようなメール分析ツールを活用し、疑わしいメールのURLを評価する。
  • 最新のフィッシング技術や指標について、セキュリティ啓発トレーニングを通じて常に最新の情報を入手する。
  • 直感を信じ、怪しいURLや良すぎる情報に遭遇した場合は、慎重に行動してください。

URLフィッシング攻撃を防ぐには? 

URLフィッシングから身を守るには、積極的な対策とベストプラクティスに従うことが必要です。 

ここでは、URLフィッシングの被害に遭わないために必要なヒントをご紹介します:

  1. 送信者の情報を確認する:送信者の電子メールアドレスや連絡先が正当なものかどうか、常に再確認してください。
  2. 文法やスペルミスがないか確認する: フィッシングメールには目立つ間違いがあることが多いので、用心深く、下手な文章を疑ってみてください。
  3. リンクの上にカーソルを置くと、URLが表示されます:メールやメッセージのリンクをクリックする前に、カーソルを合わせてURLが予想される宛先と一致していることを確認します。
  4. 強力でユニークなパスワードを使用する:オンラインアカウントには、強力で複雑なパスワードを作成し、異なるプラットフォームでのパスワードの再利用は避けましょう。
  5. 多要素認証を有効にする:可能な限り多要素認証を導入し、アカウントにさらなるセキュリティ層を追加します。
  6. ソフトウェアやセキュリティ対策は常に最新の状態に保ちましょう:OS、ウイルス対策ソフト、ウェブブラウザを定期的にアップデートし、最新のセキュリティパッチやフィッシング対策が施されていることを確認しましょう。
  7. 自分の直感を信じる怪しいと感じたら、直感を信じ、重要な情報を提供する前に注意しましょう。

オンライン脅威からドメインを守るために

オンライン脅威からドメインを守るために

今日、ブランドが直面する重大な脅威のひとつに、電子メールのなりすましがあります。攻撃者は、メールの「From」アドレスを偽造することで、あたかも信頼できるソースから発信されたように見せかけ、正規の組織になりすますことがよくあります。これは、フィッシングを含む様々な悪意のある行為につながる可能性があります。PowerDMARCの DMARCアナライザーは、このような攻撃から強力に保護します。

PowerDMARCが提供するDMARCアナライザは、組織によるDMARCポリシーの設定と実施を支援します。 DMARCポリシーを効果的に行うことができます。ブランドは、DMARC認証に失敗したメッセージを隔離または拒否するなど、メール受信者がどのように処理すべきかを指定することができます。DMARC ポリシーを導入することで、ブランドはなりすましメールが顧客の受信トレイに届くのを効果的に防止し、メールベースの攻撃リスクを軽減することができます。

フィッシングURLを報告するにはどうすればよいですか?

フィッシングURLに遭遇した場合は、Google Chromeに内蔵されている報告機能を使って報告してください。その際、URLやブラウザのバージョンなど、可能な限り多くの情報を記載してください。

フィッシングURLの報告については、以下の手順でお願いします:

  • フィッシングURLの上で右クリックし、「このリンクのアドレスをコピー」を選択します。
  • にアクセスし にアクセスし、コピーしたURLをそこに貼り付ける。
  • このリンクを報告する」をクリックします。

一般的なURLフィッシングの手法を知ることで、ユーザーは潜在的な攻撃を認識し、阻止することができるようになります。金銭的な損失や個人情報の盗難、風評被害、法的な影響など、さまざまな影響が考えられるため、URLフィッシングの脅威から身を守るためには、事前の対策と警戒が重要です。

最新記事 by Ahona Rudra(全て見る)
最終更新日:
顧客ドメインの確保:チャネルネクストのMSPサクセスストーリー(Powe...チャネルネクストアンドパワードマルク顧客セキュリティの強化-アドバンテージのMSP-PowerDMARCとの旅顧客のセキュリティを強化:PowerDMARCを導入したMSPの歩み