用語集に戻る

とは

フィッシング

?

フィッシング攻撃の仕組み

意図的に悪意のあるソフトウェアを自分のコンピューターにインストールしたり、ログイン認証情報を銀行に渡したりする人は誰もいません。ただし、フィッシング攻撃は依然として成功しています。

幸いなことに、フィッシング攻撃は、対象となるユーザーがアクションを実行しない限り機能しません。それが鍵です。ほとんどのフィッシング攻撃は大数の法則を利用し、一度に何千人もの人々を標的にします。これは、ごく一部の受信者がトリックに騙されて機密情報を渡すことを期待しています。「フィッシャー」が使用する可能性のある戦術を知っておくと、フィッシング詐欺の被害に遭うのを防ぐのに役立ちます。サイバー攻撃。次に、フィッシング攻撃の種類を見ていきます。

フィッシング攻撃の種類

フィッシングという用語が1987年に登場して以来、フィッシング攻撃に使用される手法は、かなりの数の特定の種類のフィッシングへと進化してきました。一般的なフィッシングの種類は次のとおりです。

ウイルス

ウイルスとは、他の種類のソフトウェアに添付されたマルウェアです。ユーザーがウイルスを実行すると、通常はウイルスが添付されているソフトウェアを誤って実行すると、ウイルスはユーザーのシステム上の他のプログラムに自身を追加して自身を複製します。

標準メールフィッシング

標準的なメールフィッシングは、ショットガン方式を使用してできるだけ多くの人にメールを送信します。攻撃者は、悪意のあるリンクをクリックし、偽のフォームでログイン認証情報を入力することで、メール受信者のごく一部を騙して機密情報を盗もうとしています。

スピアフィッシング

攻撃者が特定の個人にアピールするようにメールメッセージをデザインすることをスピアフィッシングと呼び、特定の魚を狙ったスピアフィッシャーマンのイメージを呼び起こします。

これらのケースでは、攻撃者はオンラインで標的を見つけ、時には詳細な作業履歴が記載されたLinkedInなどのソーシャルネットワークを使用してその人物の情報を収集します。その後、同じドメインのなりすましメールアドレスを使用して、ターゲットの仕事用メールアドレスにメールを送信します。フィッシング詐欺師は、自分の苗字と名前、勤務先の会社のドメイン名からターゲットの仕事用メールを推測できるため、簡単に行えます。

メールでは、攻撃者は従業員になりすまして、ターゲットに機密情報を漏洩させたり、送金させたりしようとします。

捕鯨

捕鯨やクジラフィッシングはスピアフィッシングと同じですが、攻撃の標的が企業のCEOや役員などの知名度の高い個人である点が異なります。捕鯨攻撃は通常、攻撃者に対する見返りが大きいため、攻撃対象者に関する多くの調査が必要であり、準備にも多くの時間がかかります。

マルウェアフィッシング

マルウェアフィッシングは、標準のメールフィッシングと同じ方法を使用します。マルウェアフィッシング攻撃は通常、できるだけ多くのデバイスを悪意のあるソフトウェアに感染させることを目的としていません。フィッシング詐欺師は、マルウェアをダウンロードしてインストールするメールリンクを標的にクリックさせようとします。このマルウェアには、ユーザーをロックアウトして身代金を要求するランサムウェア、ユーザーに広告が殺到するアドウェア、デバイスからデータを盗んだり、ユーザーのキーストロークを記録したりするスパイウェアなど、あらゆる種類があります。

スミッシング

スミッシングは、SMS対応の電話に悪意のあるリンクが送信される攻撃です。リンクはアカウントへの警告や賞品の通知になりすまして、電話ユーザーを騙してリンクをクリックさせることがあります。

検索エンジンフィッシング

検索エンジンフィッシングは、検索エンジン最適化または有料検索エンジン広告を使用して、検索エンジンの結果で上位にランクされた認証情報を盗むように設計された詐欺サイトに誘導します。疑いを持たないユーザーは、自分が有名なサイトにいると思って認証情報を入力すると、偽のエラーが表示されます。その時までに、攻撃者はすでにデータを盗んでいるでしょう。

マン・イン・ザ・ミドル・アタック

この種の攻撃は通常、公共のWi-Fiネットワークがある地域で発生します。攻撃者は、疑いを持たない人が接続する偽の無料の公共Wi-Fiネットワークを作成します。ユーザーが接続されると、攻撃者は情報をフィッシングできます。

ビッシング

ビッシングは音声フィッシングの略です。この攻撃には偽の電話が含まれます。発信者は、IRSなどの政府機関や大規模な組織の出身者だと言って、銀行の詳細やクレジットカード情報を標的に開示させようとします。

ファーミング

これは DNS ポイズニングとも呼ばれます。DNS を破損させることで、攻撃者は銀行サイトやその他の組織に送られる正当なトラフィックを、ユーザー情報を盗む偽のサイトにルーティングできます。

クローンフィッシング

このタイプのフィッシング攻撃では、攻撃者は正当なユーザーのメールまたはソーシャルアカウントをハッキングし、悪意のあるメールまたはメッセージをユーザーの連絡先に送信します。ユーザーの連絡先は、メールが信頼できる送信元から送信されたため、リンクをクリックする可能性があります。

マルバタイジング

この種のフィッシングには、合法的な企業の広告を装った偽の広告が含まれます。広告はユーザーを正規のサイトに誘導する代わりに、ユーザーをフィッシングサイトに誘導します。

フィッシング攻撃が成功するとどのような結果になりますか?

フィッシング攻撃は、認証情報を危険にさらしたり、データへの不正アクセスを取得したりするための単なる手法であることを考えると、フィッシング攻撃にはかなりの数の影響が考えられます。次のような結果になります。

  • データ損失:攻撃者はフィッシングを利用して機密データにアクセスし、盗むことができます
  • 評判の低下:フィッシング攻撃は企業の評判を損なう可能性があります
  • アカウント侵害:ほとんどのフィッシング攻撃はユーザーの認証情報を標的にします
  • マルウェア感染:フィッシング攻撃の大部分は、受信者を騙して有効なソフトウェアを装ったマルウェアをインストールさせようとします。
  • 金銭的損失:フィッシング攻撃の多くは、オンラインバンキングの認証情報を標的にしたり、銀行振込を要求したりします。

フィッシング攻撃を防ぐには?

すべてのフィッシング攻撃は防止可能です。ハッカーは、標的となるユーザーが行動を起こさないと成功しません。フィッシング攻撃を防ぐ方法はたくさんあります。

  • 教育:フィッシング攻撃を防ぐ最善の方法の1つは教育です。フィッシング攻撃は、ターゲットとのやりとりがなければ発生しません。
  • ウイルス対策とマルウェア対策:セキュリティソフトウェアは、フィッシング詐欺によってインストールされたマルウェアを被害が発生する前に検出して無効にすることができます。
  • メールとエンドポイントセキュリティ: メールをスキャンして悪質なリンクを探し、サンドボックス化できる
  • マイクロセグメンテーション: ITインフラストラクチャをマイクロセグメント化することで、1つのデバイスに感染した可能性のあるマルウェアの水平移動を防ぎ、企業ネットワークへの被害を制限できます。
用語集に戻る

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく