フィッシングは、インターネットに対する人々の本質的な信頼に依存しているため、効果的かつ危険なサイバー犯罪である。犯罪者があなたを騙して個人情報を与えることができるという考えは、ほとんどの人にとって信じがたいものであり、そのため善意の人でも簡単にフィッシング攻撃の犠牲になってしまうのです。
フィッシングが効果的かつ危険なサイバー犯罪である主な要因
フィッシングは、犯行が容易で発見が困難な一般的なサイバー犯罪です。フィッシングは何十年も前から存在する犯罪ですが、今でも企業や個人にとって大きな脅威となっています。
- フィッシングがサイバー犯罪として有効なのは、その手口が非常にシンプルだからです。正規の企業や個人からと思われるメールを送ったり、ソーシャルメディアに投稿したりします。そして、アカウントにログインしてパスワードを変更するように、あるいはクレジットカード番号や他のアカウントのパスワードなど、何らかの情報を入力するように要求します。
- フィッシングが効果的なのは、犯人が特定の個人またはグループをターゲットにできるためです。また、被害者を騙して情報を提供させるために、さまざまな手段を用いることができます。
例えば、正規の企業(Googleなど)からと思われるメールを送り、その企業のウェブサイトからアカウントにログインするように要求することがあります。この手口に引っかかると、ユーザー名とパスワードが盗まれてしまうのです!
- フィッシングがこれほど効果的な犯罪であるもう一つの理由は、それを取り締まる法律がまだ存在しないことです-現時点では、ネット上の嫌がらせや詐欺とみなされているだけなのです。つまり、上記のようなフィッシング詐欺によって個人情報を盗まれても、被害者は何の法的手段も持たないのです。
- 近年でもフィッシングに関する認知度はあまり高くない。多くの会社員やドメイン所有者、個人は「フィッシング」という言葉をなんとなく聞いたことがあるだけで、どのように実行され、どのように身を守ればいいのか正しく理解されていないのが現状です。
- その理由の一つは、フィッシングの実行が非常に簡単であることです。必要なのは、コンピュータとその使い方に関する基本的な知識だけです。そのため、フィッシングは安価で簡単に実行できるのですが、それゆえに危険なのです。
- もうひとつは、人間は騙されることに長けているということです。私たちの脳は、目で見たことを信じるようにできています。フィッシャーは、この傾向を利用して、人々が自分の利益に反する行動を取るように仕向ける方法を学んできました。
だから、知らない人からのメールを開いたり、知らない人から送られてきたメールのリンクをクリックしたりしない方がいいとわかっていても、ついやってしまうのです。脳が「これらは安全だ」と思い込ませてしまうからです
フィッシングを検知するには?
送信されたメールが本物であることを確認する
もし、それが本物かどうかわからない場合、確認する方法がいくつかあります。まず、送ってきた人が知り合い(上司など)であれば、電話をかけて本当に送ってきたかどうか聞いてみましょう。もし、イエスと言われたら、その人の言うとおりにしてください。でも、「いいえ」と言われたら......何か怪しいかもしれませんね。
第二に、電子メールのアドレスを見てください:それは会社の公式アドレスのように見えますか?多くの場合、この種のメールは "mailinator "などで終わるアドレスから送られてきますが、それは実際にはその会社からではないということです。
メッセージの認証
推測を排除するために、SPF、DKIM、特になどの信頼性の高いプロトコルを使用して電子メールメッセージを認証することを検討することができます。 DMARC.認証は、ドメイン所有者が、スプーフィング、フィッシング、ランサムウェア、BECなどのさまざまなサイバー攻撃を防ぐのに役立ちます。 BEC.
サインを探す
- 誤字脱字、文法の間違い、その他の間違いを探してください。ほとんどのフィッシングメールは、英語を母国語としない詐欺師によって作成されるため、少なくとも1つは間違いがあります。
- メールに記載されているリンク先を確認する。リンクがあなたの銀行やオンラインストアと関連性のないウェブサイトに誘導している場合、それをクリックするのはおそらく安全ではありません。
- メールに記載されている電話番号は、Google VoiceやSkypeなどの信頼できる情報源を使って確認してください!また、電子メールによる請求が疑わしい場合は、電話で機密情報を共有することなく、銀行に直接電話することもできます。"
詳細なガイドを読む フィッシングの一般的な兆候.
フィッシングに遭わないためには?
詐欺に遭わないためには、以下の点に注意してください。
- 絶対にクリックしないでください。 フィッシングリンクメールやテキストメッセージのフィッシングリンクは、その発信元がわからない限り(そして個人情報を要求してくる場合も)、決してクリックしないようにしましょう。
- 送信者のメールアドレスを見て、本当のメールアドレスと比較してください(送信者がこれを教えている場合)。見た目が悪かったり、スペルミスやその他の間違いがある場合は、開かないでください。
- DMARCポリシーをp=rejectに強制する。 DMARCエンフォースメントp=noneから始めることをお勧めします)
- 電子メールの攻撃経路とベストプラクティスについて従業員を教育するため、無料の DMARCトレーニング.
最後の言葉
フィッシング攻撃は、ネットワークをデータ漏洩やマルウェア感染のリスクにさらすだけでなく、毎年、企業に数百万ドルの収益損失と風評被害を与えています(IBM調べ)。これらの攻撃を防ぐ最善の方法は、意識向上、早期発見、効果的な予防策を講じることです。
- SPFレコードとDMARCの伝播にかかる時間は?- 2025年2月12日
- 自動ペンテストツールが電子メールとサイバーセキュリティにどのような革命をもたらすか- 2025年2月3日
- MSPケーススタディ:Hubelia、PowerDMARCでクライアント・ドメインのセキュリティ管理を簡素化- 2025年1月31日