フィッシング
フィッシングは、電子メールによって実行される最も一般的な形式の社会的攻撃です。システムやソフトウェアへのサイバー攻撃とは異なり、ハッキングの専門知識はほとんど必要ないため、サイバー犯罪者がビジネスの最も機密性の高いデータにすばやく簡単にアクセスできるようになります。
フィッシングとは何か ?
フィッシングとは、受信者をだましてアカウント認証情報を差し出させたり、マルウェアの詰め込まれたリンクをクリックさせたりするために、企業になりすますメール詐欺です。ほとんどの攻撃で、フィッシングは、偽のウェブサイトへのリンクやマルウェアが混入された添付ファイルを使って、被害者をおびき寄せようとします。
フィッシングVSスピアフィッシング
フィッシング攻撃はブランドになりすましてユーザーをだましますが、その一方でスピアフィッシング攻撃は個人になりすまします。多くのフィッシングメールには、警告を与えたり、興味をそそったりするような件名がついており、被害者にすぐに行動を起こさせようとします。非常に標的型の攻撃を除いて、フィッシングメールは通常一回限りのイベントです。しばしば、ハッカーは1つのフィッシングメールを複数の受信者に送信します。これは「波」として知られているやり方で、すぐに成功のチャンスを高めることができます。
フィッシングメールと異なり、スピアフィッシングメールにはリンクや添付ファイルが含まれておらず、受信者を騙して、電信送金、ギフトカードの購入、振込口座情報の変更などの金銭的な取引を完了させようとします。


フィッシングメールの要素
フィッシングメールには、リンクもしくは添付ファイルという2つの要素のうち1つが含まれています。被害者にリンクをクリックさせたり、添付ファイルを開かせたりするためには、洗練された一連のツールとテクニックが必要です。以下に挙げるのは、フィッシングメールの最も重要な要素のうちのいくつかです。
件名
おそらく最も重要なフィッシングメールの要素である件名は、被害者を誘惑したり、警告したり、怖がらせたりして、メールを開封するように仕向けます。ハッカーたちは事前に調査を行ったうえで非常に標的型の件名を作成し、被害者の気を引いてフィッシングメールを開封させようとします。
なりすましメール
なりすましメールは、信頼できる企業のメールアドレスに見せかけたメールアドレスを作成して行われます。表示名のなりすましを使って、ハッカーはメールの送信者欄に好きな表示名を付け加えます。その他のケースとして、ハッカーは正規のビジネスメールに類似したメールアドレスを表示名として使用します。
ブランドのなりすまし
ハッカーは、あなたが最も信頼しているブランドになりすまします。企業を攻撃する際、ハッカーは、銀行やソフトウェア業者など企業と関りのあるブランドになりすまします。信憑性という幻想を作り出すために、ハッカーは企業や製品の実際のロゴやブランドの正統性を裏付けるその他の視覚的要素を利用します。
フィッシングリンク
フィッシングリンクは、フィッシングウェブページに導くURLです。フィッシングリンクは、一般的にメール本文に組み込まれますが、既知のフィッシングリンクをスキャンするメールフィルターをすり抜ける目的で、添付ファイルやOneDriveや SharePointなどのサービスにホストされたファイル内に挿入されることもあります。被害者は、ウェブサイトを訪問してアカウントにログインするように指示を与えるメールそのものにつられて、リンクをクリックしてしまいます。
添付ファイル
添付ファイルは、メールフィルターからフィッシングリンクを隠ぺいしたり、マルウェアやランサムウェアを配布したりする目的で使われます。Word文書、PDF、.zipファイルの形式が多く、その添付ファイルは請求書のような本物のビジネスのやりとりのように見えます。フィッシングリンクはフィッシングページに繋がっていることもあれば、マルウェアやランサムウェアの自動ダウンロードを引き起こすという結果を招くこともあります
フィッシングページ
フィッシングページとは、ブランドになりすました偽のウェブページです。粗雑なフィッシングページは簡単に見分けがつきますが、高度なハッカーは、ブランドのウェブページの本物のCSSを使って、自らのフィッシングページを本物そっくりに作ります。フィッシングページは、ログインページになりすまします。被害者は自分のアカウントにアクセスするためにそのページにユーザー名やパスワードを入力します。そのようにして、被害者の認証情報が盗み取られます。

フィッシングの例
緊急性はあらゆるフィッシングメールの本質です。ハッカーはさまざまな詐欺を使って不安感や恐怖心を煽り、ユーザーがリンクをクリックして機密情報を差し出すように仕向けます。
- アカウントの確認や更新
このフィッシングメールは、習慣的な手続きである、あるいはアカウントに問題があることなどを理由にして、アカウントの確認やパスワードの再設定の必要性をユーザーに通知します
- 支払情報更新の警告
クレジットカードであることが一般的ですが、現行の支払形式が機能していない、またはサービスの利用を継続するために更新が必要だと被害者は通知されます。
- 請求書の添付
この攻撃には、請求書やその他のビジネス上のやりとりを装った添付ファイルが含まれます。添付ファイルにフィッシングページへのリンクが含まれていたり、または、添付ファイルを開くとマルウェアやランサムウェアがまき散らされたりします。
- セキュリティ警告
偽のセキュリティ警告には、被害者にパスワードが不正にアクセスされた、アカウントで不審な活動があった、あるいは、最近見知らぬデバイスからアカウントにサインインがあったなどと警告するフィッシングメールがあります。
- セキュリティ警告
偽のセキュリティ警告には、被害者にパスワードが不正にアクセスされた、アカウントで不審な活動があった、あるいは、最近見知らぬデバイスからアカウントにサインインがあったなどと警告するフィッシングメールがあります。
- セクストーション
セクストーション詐欺は、オンラインポルノを被害者が観ている姿をウェブカメラで撮影した映像などの不正にアクセスした情報をハッカーが握っていると信じ込ませて、被害者を騙そうとする詐欺です。被害者は、その情報を知人や一般大衆に公開されるのを避けるためにビットコインでハッカーに金銭を支払うように指示されます。
企業フィッシングの急増
フィッシングは、かつては消費者の問題だと見なされていました。しかし、ハッカーたちが洗練されていくにつれて、彼らは企業を標的にし始めました。クラウドコンピューティングの成長によって、企業はさらに大きな標的となり、機密ファイルやデータが突如容易に手に入るようになりました。その結果、ハッカーは、クラウドサービスプロバイダや金融機関など、企業と取引のある有名な信頼のあるブランドになりすますようになりました。

Phisher's Favorites
人気の高いMicrosoft 365フィッシング攻撃
要求されたアクション
ユーザーは、Microsoft 365のアカウントに、アカウント認証情報の確認やパスワード変更をするなど注意が必要だと警告されます。
支払停止
ユーザーは、自分のMicrosoft 365の支払方法に問題があったという警告を受け、クレジットカード情報を更新するように指示されます。
ボイスメールフィッシング
ユーザーは、ボイスメールを受信したのでMicrosoft 365にログインしてメッセージを聞くように通知するメールをOutlookやMicrosoftのメールアドレスから受信します。
共有ファイル攻撃
ユーザーは、同僚がOneDriveまたは SharePointでファイルを共有したという通知を受信します。ファイルには、たいていフィッシングリンクが含まれていますが、ランサムウェアが詰め込まれたである可能性もあります。
OneNoteフィッシング
ユーザーは、同僚や友人がOneNoteでメッセージを共有したという通知を受信します。メール内のURLは、フィッシングリンクが埋め込まれた偽のOneNoteメッセージに繋がり、そのリンクからMicrosoftのフィッシングページへと繋がります。不正にアクセスされたSharePointのアカウントを使えば、ハッカーは正規の通知を送信できます
マルチフェーズ攻撃
マルチフェーズ攻撃は、フィッシングから始まり、スピアへと発展します。前述のフィッシング詐欺のいずれかの方法で始められ、最初の攻撃でハッカーはユーザーのMicrosoft 365の認証情報へのアクセス権を入手します。これらの情報を利用して、ハッカーは不正にアクセスしたOffice 365のアカウントからフィッシングまたはスピアフィッシングメールを送信します。
フィッシング技術
ほとんどのメールフィルターは、ブラックリストに登録されているドメインやIPのスキャンを含むFingerprintとレピュテーションベースの検出方法を使用しています。そのため、この種のフィルターは、未知の攻撃や過去に特定されたことのないフィッシングメールやフィッシングページを検出できません。
ハッカーは、多数のフィッシング技術を使ってFingerprintやレピュテーションベースのフィルターをすり抜けようと企みます。ハッカーは簡単にMXレコードを調べて、どのメールセキュリティソリューションが使われているのかを確認し、MXルールをすり抜けるスクリプトを作成したり、あるいは、ソリューション自体をすり抜ける技術を開発したりします。以下に、最も一般的かつ高度なフィッシング技術のいくつかをご紹介します:
標的型のメール
- 被害者は、仕事上の立場、経験レベル、機密データへのアクセス権があるかを示すその他の要因などによって選定されます。
- ハッカーは、ソーシャルメディアや過去のデータ漏洩を掘り返して、メールを個人化したり、被害者がフィッシングメールに反応する気になるものは何かを把握したりするのに役立つ情報を探します。
- ハッカーは標的にする会社を調査して、その会社がどのブランドと取引をしているのかを把握します。その会社のビジネスパートナー、ソフトウェアプロバイダ、銀行、その他の金融パートナーなどがそれらに含まれます。
ブランドのなりすまし
- ブランドのロゴや画像をウェブからダウンロードして、フィッシングメールに挿入することで、メールに信憑性と権威を与えます。
- CSSとJavaScriptが正規のブランドのウェブページからコピーされてフィッシングページの開発に使われると、本物のウェブページと見分けがつかなくなります。
- そして、ブランドの正規の送信元メールアドレスをフィッシングメールに追加することで、そのメールがそのブランドから送信されたものだとユーザーに信じ込ませます。
URLs
- フィッシングページに導くURLは、メールに挿入されていることもあれば、文書を解析できないメールフィルターに検出されるのを避けるために、PDFやWord文書のような添付ファイルに隠されていたりすることもあります。
- 安全なウェブページに導く正規のURLをフィッシングリンクとともにメールに挿入することで、複数の正規のURLをスキャンすることで、そのメールを安全だと見なすメールフィルターを欺きます。
- 時限爆弾型URLは、安全な正規のウェブページに導くURLですが、メールが受信者に配布されると、フィッシングページにリダイレクトします。
- lyやTinyURLのようなURL短縮ツールは、フィッシングURLの偽名を作成するために使われ、既知のフィッシングリンクをスキャンするフィルターをすり抜けます。
画像の挿入と歪み
- 画像に僅かな変更や歪みを加えることで、暗号学的ハッシュや「Fingerprint」を変更します。 これにより、ブラックリストに登録されたフィッシングメールが新しい安全なメールとしてフィルターに認識されます。
- しばしばQR CodeがフィッシングURLの代わりに挿入され、QR Codeを抽出できないフィルターをすり抜けます。一般的にセクストーション詐欺で使われるQR Codeは被害者を恐喝の支払いができるビットコインサイトに移動させます。
- メールのスクリーンショットなどのテキストベースの画像がテキストの代わりにメールの本文に挿入されます。これにより、メールによるコンテンツのスキャンをすり抜けることができます。というのは、そのフィルターは、スキャンする内容がないために、そのメールを安全だとみなす可能性があるからです。

フィッシングの防止
最善のフィッシング防止策は、人と技術を組み合わせた方法です。毎日新たな攻撃が出現し、たとえ洗練されたフィルターであっても時には攻撃を見過ごしてしまうことがあるため、予防対策は、持続的な努力と一連のフィッシング対策テクノロジーを必要とする継続的な取り組みです
- ユーザートレーニング
攻撃がますます洗練されてきているため、ユーザーは常に最新のフィッシング攻撃および技術に備えたトレーニングを受けることが必要です。フィッシング意識向上トレーニングを繰り返し実施することに加えて、ユーザーがフィッシングメールをクリックした時に状況的なトレーニングを実施し、どう行動すべきかについて即時のフィードバックを提供しましょう。
ユーザーが利用しているブランドに基づいて個人化されたフィッシング攻撃の内容は、グループセッティングで実施される年に一度実施される一般的なフィッシングメールに基づいたトレーニングとは異なるトレーニング状況を提供します。最終的に、そのトレーニング体験はより大きな影響を与えると同時に、実際のフィッシング攻撃は、トレーニングセッションで使われるフィッシングシミュレーションよりもより強く記憶に残ります。
フィッシングの防止対策において同じく重要なことは、フィッシングの疑いのあるメールを報告するようにユーザーに促すことです。これにより、IT部門は流入する攻撃について会社に注意を促す機会を得られ、また、セキュリティオペレーションチームは、そのフィッシングメールを使ってメールフィルターを強化する機会を得られます。span>
- 人工知能
Fingerprintやレピュテーションベースの技術と異なり、人工知能は、内容、状況、メールの送信元をスキャンすることによって未知のフィッシング攻撃を特定します。教師あり学習アルゴリズムは、フィッシングメールのさまざまな機能を認識できるようにデータ科学者によって訓練されています。教師なし学習アルゴリズムに教師は必要ありませんが、長い時間をかけてメールの異常や大半のデータと異なる不審なイベントを認識する方法を学習します。
- 画像検出
ブランドの画像やロゴを検出するように訓練されたComputer Visionアルゴリズム は、画像のわずかな歪みを検出したり、テキストベースの画像をスキャンしたり、フィッシングリンクを隠ぺいするQR Codeを抽出したりします。他のマシンラーニングアルゴリズムと異なり、Computer Visionアルゴリズムは、画像を人間が視覚で捉えるのと同じように捉えて解釈し、新しいメールに見せかけるために変形された既知のフィッシングメールを認識します。