フィッシング攻撃の種類
メールフィッシング。メールフィッシングは、最も一般的な種類のフィッシングです。これは、ハッカーが有名なブランドになりすまして、悪意のあるリンクや添付ファイルが組み込まれたメールをターゲットにした被害者に送信することで発生します。これらの攻撃では、ソーシャルエンジニアリング技術を使って受信者の気を引き、フィッシングリンクをクリックさせたり、有害な添付ファイルをダウンロードさせたりします。ハッカーはメールフィッシングを使って、被害者の認証情報を収集したり、デバイスをマルウェアに感染させたり、それに続くサイバー攻撃を実行したりする可能性があります。
スピアフィッシングまたはビジネスメール詐欺(BEC)。スピアフィッシングは、非常に標的を絞ったフィッシング形式で、企業ではなく個人になりすまします。ほとんどの場合、なりすましの対象者は被害者の知人です。スピアフィッシング攻撃は、悪意のあるリンクや添付ファイルを使ってターゲットとなる受信者を侵害することはほとんどありませんが、効果的なソーシャルエンジニアリング手法と、なりすましの対象者やターゲットとなる被害者に関する広範な調査に依存しています。次のセクションでは、スピアフィッシングのより包括的な定義と、メールフィッシングとの比較について説明します。
Quishing。QRishingまたはQR Codeフィッシングとも呼ばれるQuishingは、QR Code内の悪意のあるリンクや添付ファイルを隠して、メールフィルターによる検出をすり抜けます。Quishing攻撃は、検出をすり抜けるための技術の域を超えて、標準的なメールフィッシング脅威と同じ結果を達成しようとします。
ホエーリング。ホエーリングはスピアフィッシングの一種で、上級幹部をターゲットにします。多くの場合、電信送金詐欺などの金融詐欺を助長する目的で行われます。ホエーリング攻撃は、スピアフィッシング攻撃と同じソーシャルエンジニアリング手法に依存しています。違いは主に、それがどのように発生するかではなく、ターゲットになる個人にあります。英国の国家サイバーセキュリティセンター(NCSC)によると、ホエーリング攻撃は主に金融機関と決済サービスに焦点を当てていますが、クラウドストレージサイト、オンラインサービス、eコマース組織も一般的に影響を受ける可能性があります。
ソーシャルメディアフィッシング。ソーシャルメディアフィッシングは、メールフィッシングの最も一般的な種類の1つです。ソーシャルメディアブランドになりすまし、偽の通知やアラート、その他のメールを使ってユーザーを標的にします。多くの場合、メールでユーザーを悪意のあるWebサイトに誘導し、その認証情報を盗み、それを使ってソーシャルメディアアカウントにログインすることを目的としています。ハッカーがアカウントの侵害に成功すると、ハッカーは被害者を監視したり、容易にアカウントの乗っ取り(ATO)ができるようになったり、被害者になりすまして被害者の友人や家族、その他のつながりをターゲットにしたりできるようになります。2020年以来、Facebookはハッカーによるなりすましの最も多いブランドの首位または2位を占めています。InstagramやWhatsAppなどの他のブランドも、なりすましの最も多いブランドの1つとして頻繁に取り上げられています。
クローンフィッシング。この攻撃では、ハッカーは正当なメールのクローンを作成し、無害なリンクや添付ファイルを悪意のあるリンクや添付ファイルに置き換えて変更を加えます。その後、被害者が過去の経験を踏まえてメールのコンテンツと送信者を信頼する可能性が高いと想定して、元の受信者にそのメールを再送信します。
ビッシングまたはボイスフィッシング。ビッシングは主に音声コミュニケーションを通じて発生します。ビッシング攻撃は、ターゲットにした被害者を操り、電話で機密情報を漏洩させようとします。この攻撃方法は、メールなどの他の通信チャネルが組み込まれることもあれば、完全に電話で実行されることもあります。CISAによると、高度なビッシング攻撃では、ハッカーが正当な発信者になりすますために、ボイスオーバーインターネットプロトコル(VoIP)ソリューションがしばしば利用されます。
スミッシングまたはSMSフィッシング。スミッシングまたはSMS(ショートメッセージサービス)フィッシングは、テキストメッセージを通じて発生します。メールフィッシングと同様に、スミッシングは定評のある一流ブランドになりすまし、悪意のあるリンクや情報の要求、ハッカーがビッシング攻撃のために管理している電話番号が組み込まれたテキストメッセージをターゲットとなる被害者に送信します。スミッシングの目的はメールフィッシングと同じです。
アングラーフィッシング。アングラーフィッシングはソーシャルメディアのプラットフォームで行われます。ハッカーは偽のプロフィールを作成し、顧客サービス担当者を装います。次に、そのブランドについて苦情を投稿したプラットフォーム上の個人をターゲットにします。ハッカーは、善意の見せかけのジェスチャーとして、返金や無料プレゼントの他、ターゲットにしたユーザーを悪意のある違法なサイトに誘導する魅力的なオファーを提供することがあります。
検索エンジンフィッシング。検索エンジン最適化(SEO)ポイズニングとしても知られる検索エンジンフィッシングは、ハッカーがSEOの手法で、検索用語の上位結果に悪意のあるサイトをランク付けする方法です。このサイトは正当なものに見えるように設計されており、認証情報の収集やデバイスへの感染を目的としています。
Bank of Americaになりすましたフィッシングメール
スピアフィッシングメール
MicrosoftになりすましたQuishingメール
Facebookになりすましたソーシャルメディアメール
フィッシングメールの分析
件名
重要なフィッシングメールの要素である件名は、被害者を誘惑したり、警告したり、怖がらせたりして、メールを開封するように仕向けます。より個人化された攻撃の時代において、ハッカーは、しばしばターゲットを絞った件名を書き、被害者を誘導してメールを開かせようとします。「ターゲットを絞る」方法は、件名に「緊急」という言葉を追加したり、正当であるかのように見せるために実際の請求書や他のメールスレッドを参照したりするなど、単純な場合もあります。
メールスプーフィング
メールスプーフィングは、信頼できる企業のメールアドレスに見せかけたメールアドレスを作成して行われます。メールスプーフィングの最も一般的な形式は、表示名のスプーフィングとクロースカズンスプーフィングの2つです。表示名のスプーフィングでは、表示名のフィールドにスプーフィングされた企業名が複製されます。クロースカズンスプーフィングでは、正当なアドレスのレプリカに近いドメイン名が使用されます。どちらの形式のスプーフィングもメール認証プロトコルをすり抜けますが、表示名のスプーフィングは、メールがモバイルデバイスで表示されるときに主要な識別子として表示されます。これは、モバイルデバイスがデフォルトでメール送信者のドメインアドレスを非表示にするためです。
ブランドのなりすまし
フィッシングメールには、ほぼ必ずブランドや製品のロゴに加え、組織のアイデンティティを表すその他の視覚的要素が組み込まれています。これらの要素は、ブランドのなりすましにおいて重要な役割を果たします。
フィッシングリンク
フィッシングメールには、多くの場合、悪意のあるリンクが1つ以上組み込まれています。ハッカーは、通常それらをメールの本文内に配置しますが、QR Code(quishing)、添付ファイル、あるいはOneDriveやSharePointなどのサービス上でホストされているファイルにそれらを隠すこともできます。ハッカーはメールフィルターによる検出をすり抜けるために後者の手法を選択することがよくあります。フィッシングリンクは、機密情報を収集したり、デバイスをマルウェアに感染させたりすることを目的としたフィッシングページにユーザーを誘導します。
添付ファイル
すべてのフィッシングメールに組み込まれているわけではありませんが、添付ファイルはフィッシングリンクを隠したり、マルウェアやランサムウェアを配信したりするためによく使われます。Word文書、PDF、.zipファイルの形式が多く、その添付ファイルは請求書のような正当なビジネスのやりとりのように見えます。リンクはフィッシングWebサイトに繋がっていることもあれば、最終的にマルウェアやランサムウェアの自動ダウンロードを引き起こすこともあります。Verizonの2023年データ漏洩/侵害調査報告書によると、マルウェアを配信するために最も多く使われる種類の添付ファイルは Microsoft Officeのドキュメントです。
フィッシングページ
フィッシングページとは、ブランドになりすました偽のWebページです。粗雑なフィッシングページは簡単に見分けがつきますが、高度なハッカーは、ブランドのWebページの本物のCSSを使って、自らのフィッシングページを本物そっくりに作ります。フィッシングページは、ログインページになりすまします。被害者は自分のアカウントにアクセスするためにそのページにユーザー名やパスワードを入力します。それらの情報が漏洩すると、ハッカーは認証情報を収集します。
フィッシングメールの検出方法のインフォグラフィック
フィッシングの本質は緊急性です。ハッカーはさまざまな詐欺を使って不安感や恐怖心を煽り、ユーザーがリンクをクリックして認証情報や機密情報を差し出すように仕向けます。一般的なフィッシング詐欺の種類は次の通りです。
-
アカウントの確認や更新
このメールは、習慣的な手続きであることや、アカウントに問題があることなどを理由にして、アカウントの確認やパスワードのリセットの必要性をユーザーに通知します。次のTrustWallet詐欺は、ターゲットにした被害者に仮想通貨ウォレットを確認する必要があることを通知しています。このスキームは、アカウントを乗っ取る(ATO)ために、フィッシングページにユーザーをリダイレクトして認証情報を収集するように設計されています。
-
支払情報更新のアラート
クレジットカードであることが一般的ですが、現行の支払形式が機能していない、またはサービスの利用を継続するために更新が必要であるという通知を被害者は受信します。
-
請求書の添付
この攻撃には、請求書やその他のビジネス上のやりとりを装った添付ファイルが含まれます。添付ファイルにフィッシングページへのリンクが組み込まれていたり、または、添付ファイルを開くとマルウェアやランサムウェアのペイロードが配信されたりする可能性があります。たとえば、次のマルスパム配布キャンペーンは米国の社会保障局になりすましています。このメールには、被害者のデバイスにマルウェアを自動的にダウンロードする悪意のあるリンクが組み込まれています。
米国の社会保障局になりすましたフィッシングメール-
QR Code
メールの本文には、被害者が携帯電話でスキャンするためのQR Codeが組み込まれています。多くの場合、QR Codeはボタンの代わりとして機能し、フィッシングリンクを隠すため、メールセキュリティフィルターによる検出が困難になります。この攻撃は以前から存在していましたが、2023年と2024年に再び流行しています。次の例は、2018年のAshley Madisonの漏洩に起因するQuishing攻撃や、Microsoft 365ユーザーをターゲットとした詐欺です。
Ashley MadisonのリークによるQuishing恐喝詐欺
-
セキュリティアラート
被害者は、パスワードが侵害されたこと、アカウントで不審なアクティビティがあったこと、または最近不明なデバイスからアカウントにサインインした履歴があることを通知するセキュリティアラートを受信します。たとえば、最もなりすましの多いクラウドブランドの1つであるNetflixになりすまして異常なアカウントアクティビティを通知する自動メールをユーザーが受信することがあります。被害者が悪意のあるリンクをクリックすると、多くの場合、彼らは認証情報を収集するためのフィッシングページに誘導されます。攻撃者は、そのページで入力された認証情報を使ってNetflixのアカウントをハッキングできるようになります。Netflix、Hulu、DirectTV、Brazzersなどのブランドの海賊版アカウントは、通常、ダークウェブで販売されます。
-
セクストーション
セクストーション詐欺は、オンラインポルノを被害者が観ている姿をウェブカメラで撮影した映像などの不正にアクセスした情報をハッカーが握っていると信じ込ませて、被害者を騙そうとする詐欺です。これらの詐欺は多くの場合、サイトの消費者をターゲットにします。被害者は、その情報を知人や一般大衆に公開されるのを避けるためにビットコインでハッカーに金銭を支払うように指示されます。
フィッシング脅威検出
Phishing IQ test
