フィッシングとは
銀行やその他の一般的なオンラインサービスを装った電子メールで、サービスのログイン情報を求められるようなメールを受け取ったことはありませんか?もし受け取ったことがあるなら、一般的なフィッシング攻撃がどのようなものか、すでにご存知だと思います。
用語の由来
この概念は、1987年にJerry FelixとChris Hauckが発表した「System Security」という会議で初めて解説されました。「A Hacker's Perspective」(1987 Interex Proceedings 1:6)という論文の中に登場し、攻撃者が評判の良い企業やサービスを模倣する手法について述べられていました。フィッシング(Phishing)は、ターゲットを釣る「Fishing」の同音異義語です。「Phishing」の "Ph-"は、1990年代に通信システムを実験的に利用したり、違法に境界線を探ったりしたハッカー集団「phreaks」にちなんだものです。
フィッシング詐欺とは
フィッシング詐欺は何年も前から存在していますが、その間に攻撃者は被害者を狙うためのさまざまな手法を開発してきました。
最も一般的なフィッシングの手法は、銀行や金融機関を装って電子メールを送信し、電子メール内の偽のフォームに入力させたり、口座情報やログイン情報の入力を要求するWebページにアクセスさせたりするものです。
続きを読む
被害者から盗んだ情報は、通常、銀行口座から金銭を引き出すために悪用されたり、オンラインで販売されたりします。同様の攻撃は、電話やSMSメッセージでも行われます。
スピアフィッシング攻撃
一見すると本物のように見えるフィッシング詐欺メッセージを、特定のグループや組織、あるいは個人の受信トレイに送りつける、より高度なフィッシング手法です。スピアフィッシングメールの作成者は、事前にターゲットを詳細に調査しているため、コンテンツが不正なものであることを見分けるのは困難です。
企業の役職者 やオーナーなど、知名度の高いビジネスパーソンに焦点を当てた攻撃は、潜在的な報酬の大きさ(悪者が「大きな魚」を狙うこと)から、「ホエール」と呼ばれています。
フィッシングの見分け方
フィッシングでは、スペルミスや誤解を招くようなドメイン名がこの目的のためによく使われています。昨今では、攻撃者はこの手法をより洗練させ、リンクや偽のページを正規のものとよく似せています。
電子メールや電子メッセージに、信頼できる組織の公式ロゴなどが含まれていても、それがフィッシャー(攻撃者)からのものであることもあります。以下に、フィッシングメッセージを見分けるためのヒントをいくつかご紹介します。
疑わしい兆候
- 不自然な挨拶 – メッセージから一斉送信特有の表現が見られる場合(例:「お客様各位」)。偽の参照番号を用いて、いかにもそれらしく演出するケースもあるので注意が必要です。
- 個人情報の提供を求める – 銀行や金融機関、ほとんどのオンラインサービスでは個人情報を直接求めることはありません。個人情報の入力を求められた場合は注意が必要です。
- 文法の不備 – スペルミス、タイプミス、翻訳ツールの利用を感じさせる不自然な言い回しなど。
- 予期せぬ連絡 – 銀行やオンラインサービスプロバイダーからの急な連絡がメールで届くことはめったにないため、疑うべきです。
- 切迫感がある – フィッシングメッセージは多くの場合、緊急であることを演出して熟考の余地のない行動を誘発しようとします。
- 有益であることをアピールしている – 金銭を提供するなど、メッセージがあまりにも良いものに見えたら、疑いをかけるべきです。
- 疑わしいドメイン – 米国やドイツの銀行が、中国のドメインからメールを送ることはありません。
フィッシングメールの現状
2021年8月にフィッシング対策協議会に寄せられたフィッシング報告件数は、53,177 件となっています。
(引用元:2021/08 フィッシング報告状況 – フィッシング対策協議会)
フィッシングに悪用されたブランドやドメインも年々増加しており、報告数上位のブランドは、毎日大量のフィッシングメールを配信されている現状です。また、調査用メールアドレス宛に届いたこれらの大量配信系フィッシングメールのうち、約90.7%がメール差出人に正規のメールアドレス・ドメインを使用した「なりすまし」フィッシングメールでした。
年々フィッシングメールの質が上がり、一見しただけでは普通のメールとの見分 けがつきにくい状況となっていますが、送信元メールアドレスの確認と迷惑メールフィルタを併用することで判別ができるものが多いため、特に使用するメールアドレスでは迷惑メールフィルタが利用できるメールサービスを利用すべきです。
フィッシングから身を守るために
フィッシング詐欺に遭わないためには、フィッシングメッセージの特徴を知っておく必要があります。また 、進化するフィッシング詐欺に対抗する手段も知っておくべきです。
新しいフィッシングの手法に注意する
攻撃者はユーザーを罠に誘い込むための新しいテクニックを編み出しているかもしれません。フィッシング詐欺の報道をメディアなどでチェックしましょう。
個人情報を漏らさない
一見、信頼できると思われる企業からの電子メッセージが、ログイン情報やその他の個人情報を求めてきた場合は、特に注意が必要です。
リンクをクリックする前に注意する
不審なメッセージにリンクや添付ファイルがある場合は、クリックやダウンロードをしないでください。悪意のあるウェブサイトにつながったり、デバイスがマルウェアに感染したりする恐れがあります。
オンラインアカウントの定期的なチェック
誰かがあなたの認証情報を盗もうとしているとは思わなくても、銀行口座やその他のオンラインアカウントに不審な動きがないか定期的にチェック してください。
フィッシング詐欺の過去の事例
組織的なフィッシングは、1995年にアメリカ・オンライン(AOL)のネットワークで始まりました。正規のアカウント情報を盗むために、攻撃者はAOLインスタント・メッセンジャー(AIM)を使って被害者に連絡を取り、AOLの従業員のふりをしてユーザーのパスワードを確認していました。「フィッシング」という言葉は、この方法を自動化したAOHellというツールに焦点を当てたUsenetのグループで登場し、その名前が定着しました。1997年にAOLが対策を講じた後、攻撃者たちは同じ手法を他の場所でも使用できることに気づき、あらゆる金融機関になりすまして攻撃を行うようになりました。
その他の過去の事例
結果的に失敗には終わりましたが、はじめて大規模な攻撃が行われた一例として、2001年に起きた9.11テロの混乱に乗じたものが挙げられます。フィッシャーは、被害者の一部にIDチェックを依頼するメールを送信し、入手したデータを悪用してデジタル通貨サービス「e-gold」から財務情報を盗み出そうとしました。
それから3年が経過した2005年には、米国におけるフィッシングの被害は9億米ドル以上にもなっていました。
APWGのグローバル・フィッシング・サーベイによると、2016年には25万件以上のフィッシング攻撃が観測され、悪意を持って登録されたドメイン名の数は95,000件を超えて過去最多となっています。近年、フィッシャーは、銀行、金融・マネーサービス、Eコマースの顧客、ソーシャルネットワークや電子メールの認証情報を狙う傾向にあります。
セキュリティ対策を導入してフィッシングを防止
フィッシングの被害件数は年々増加しており、その手口も巧妙さを増しています。ユーザーの注意力だけで、フィッシングの被害を防止するのは極めて難しくなっているのです。
ESET製品 のフィッシング対策保護機能は、疑わしいWebサイトまたはドメインを検出し、ユーザーがそれにアクセスしようとすると、「警告:フィッシングの脅威の可能性があります」という通知を表示します。
ユーザーがアクセスしようとしているURLを既知のフィッシング・データベースと比較し、一致するものが見つかると、URLへ接続させずに、警告メッセージが表示されるようになっているためです。
フィッシング対策データベースはESETによって定期的に更新され、ユーザーのコンピューターは20分ごとに新しいフィッシングの脅威に関するデータを受信しています。
警告が出た場合は無理にアクセスしようとせず、URLをよく確認するようにしてください。