フィッシングメールとは 概要や手口を解説

セキュリティニュース

投稿日時: 更新日時:

フィッシングメールとは 概要や手口を解説

今回はフィッシングメールについて概要や手口について解説します。

なお、標的型攻撃メールとは?や概要については別の記事紹介しています。

フィッシングメールとは?

フィッシングメールは、信頼できる組織を装った攻撃者が被害者をだまして電子メールを開かせ、認証情報を窃取します。最近ではフィッシング攻撃は多様化しており、インスタグラムやXなどのインスタントメッセージやLinkedInなどのビジネス職のあるSNSなどのメッセージなどでも悪用されています。

フィッシングメールの内容は個人向けの場合、以下のような運送業や携帯キャリア、サブスクリプションサービスのメールに偽装し、法人向けの場合は法人契約している会計ソフトやクラウドサーバーなどのサービス、取引先を語ったフィッシングメールなどになります。

フィッシングメールの例

フィッシング攻撃とは何か?フィッシングメールの目的

フィッシング攻撃とはソーシャルエンジニアリング攻撃の一種で、ログイン認証情報やクレジットカード番号などのユーザーデータを盗むためによく使用されます。

フィッシングメールの受信者は悪意のあるリンクをクリックするように誘導され、マルウェアのインストールやランサムウェア攻撃の一環としてのシステムのフリーズ、または機密情報の漏洩につながる可能性があります。

フィッシング攻撃により受信者は壊滅的な結果をもたらす可能性があり、

個人の場合、これにより意図しない商品の購入、資金の窃取、個人情報の盗難となります。

また、フィッシング攻撃は、難易度の高い大規模な攻撃の一環として、企業や政府のネットワークの足がかりを築くためによく使用されます 。この手法としては、閉鎖された環境内でマルウェアを配布したり、保護されたデータへの特権アクセスを取得したりするために、組織のメンバーや社員がターゲットにされます。

フィッシング攻撃の被害を受けた組織は、通常、市場シェア、評判、消費者の信頼の低下に加え、深刻な経済的損失を被ります。範囲によっては、フィッシング攻撃がセキュリティインシデントにエスカレートし、企業が回復に苦労する可能性もあります。

フィッシングの意味

「フィッシング」という言葉のつづりは、「Phishing」です。これは、魚釣りを意味する「Fishing」と、洗練を意味する「Sophisticated」を組み合わせた造語だと言われています。

フィッシング攻撃の進化

フィッシング攻撃は長年にわたって大きく進化しており、技術の進歩に適応してより巧妙になっています。その進化の内訳は次のとおりです。

初期のフィッシング詐欺(1990年代半ば)

フィッシング攻撃は当初、電子メールを介して個人をターゲットにしていました。攻撃者は、銀行やオンラインサービスなどの正当なソースから送信されたように見える偽のメッセージを送信しました。これらの詐欺は、基本的なソーシャルエンジニアリング戦術を利用して受信者を騙し、個人情報を開示させます。

スピアフィッシングとホエーリングの導入(2000年代半ば)

フィッシングの手法は、スピアフィッシングやホエーリングなどの新しい手法によってさらに洗練されてきました。スピアフィッシングは、パーソナライズされたメッセージで特定の個人や組織をターゲットにし、ホエーリングは著名な役員をターゲットにします。これらの攻撃は、ターゲットの被害者の信頼を悪用し、人間の行動を操作するために高度にカスタマイズされています。

複数のプラットフォームへの拡大(2010年代)

インターネットの利用が拡大し、オンラインプラットフォームが多様化するにつれて、フィッシングの手法はソーシャルメディア、メッセージングアプリ、モバイルデバイスにまで広がりました。攻撃者は、より幅広いユーザー層にリーチし、成功率を高めるために、マルチプラットフォーム攻撃を使用しました。

先進技術の統合(現在)

今日、フィッシング攻撃は AI などの新しいイノベーションを活用してその効果を高めています。AI を使用すると、詐欺師はより明確にコミュニケーションし、攻撃を拡大し、あらゆる言語でメッセージを送信できます。

大規模言語モデル (LLM) により、攻撃者はフィッシング メールから不適切な文法やその他の特異性を簡単に取り除くことができ、ネイティブスピーカーのように聞こえるようになります。

フィッシング攻撃手法の概要

フィッシング攻撃は、正当な会社や Web サイトからのように見えるメッセージを送信することで行われます。フィッシングメッセージには通常、本物のように見える偽の Web サイトにユーザーを誘導するリンクが含まれています。次に、ユーザーはクレジットカード番号などの個人情報を入力するように求められます。この情報は、その後、ユーザーの個人情報を盗んだり、クレジットカードに不正請求したりするために使用されます。

フィッシング攻撃の具体的な手口・手法

フィッシングメールのほとんどは、多数の受信者にランダムに送信され、攻撃者にとっての成功の鍵は数の多さにあります。送信されるメールの数が多いほど、メールを開く被害者が見つかる可能性が高くなります。

ただし、特定の組織や個人をターゲットにした、スピアフィッシングと呼ばれる種類の攻撃も数多く存在します。より広範なフィッシング攻撃と同様に、このようなメールには悪意のあるリンクや添付ファイルが含まれている可能性があります。

フィッシングメール以外にも正当なサービスや組織を語るフィッシング攻撃があり、以下のように多くの種類があります。

ファーミング(Pharming)/DNS キャッシュポイズニング

ファーミング攻撃は、Web サイトのトラフィックを悪意のある偽サイトにリダイレクトするタイプのサイバー攻撃です。ファーミングは、ログイン認証情報や財務情報などの機密情報を盗むために使用される可能性があります。

タイポスクワッティング(Typosquatting)/URLハイジャック

偽装 Web サイトの URL は本物のように見えますが、本物のWeb サイトとは微妙に異なります。ユーザーがブラウザのアドレスバーに URL を入力する際の入力ミスを利用することを目的としています。

たとえば、次のようなことが考えられます。

  • 「m」の代わりに「n」など、キーボード上で隣り合っている文字を使用します。
  • 2つの文字を入れ替える。または文字を追加します。

クリックジャッキング(Clickjacking)

リンクやボタンなどの要素を隠蔽・偽装してクリックを誘い、利用者の意図しない動作をさせようとする手法です。攻撃者は正当なボタンの上に悪意のあるクリック可能なコンテンツを配置します。たとえば、オンラインショッピングをする人は、購入するためにボタンをクリックすると考えますが、実際にはマルウェアをダウンロードすることになります。

タブナビング(Tabnabbing)

タブナビングは、本物のWeb サイトに似せて偽のWeb サイトにユーザーを誘導し、認証情報を入力させるフィッシング手法です。ユーザーが開いているブラウザタブの内容を悪意のあるページにすり替えることで、フィッシング詐欺を実行します。この攻撃は、ユーザーの注意が他のタブに移っているときに実行されることが多く、特に複数のタブを開いて作業するユーザーが標的となります。

クローンフィッシング

クローンフィッシングは、信頼できる送信者からのメールのように見えるメールが悪意のある人物からのものであるというフィッシング攻撃の一種です。メールには、送信者がなりすましている元の Web サイトのクローンへのリンクが含まれていることがよくあります。このクローン Web サイトは、ユーザーにログイン資格情報の入力を要求し、攻撃者はそれを盗みます。

CEO詐欺

CEO 詐欺は、ある人物が CEO や他の上級幹部を装い、従業員や他の人を騙して機密情報や金銭を詐取する攻撃の一種です。攻撃者は、電子メール、電話、ソーシャルメディアで被害者に連絡し、偽のWebサイトやその他の方法を使用して、詐欺が正当なものであるように見せかけます。

BEC(ビジネスメール詐欺)

BEC は、攻撃者が電子メールを使用して従業員を騙し、金銭や会社の機密情報を送金させるサイバー攻撃の一種です。BEC 攻撃は、被害者の信頼を得るために、組織内の上級管理職やその他の信頼できる個人の電子メール アドレスを偽装して実行されることがよくあります。

一般的なフィッシング攻撃の事例

以下は、一般的なフィッシング攻撃の事例を紹介します。今回は企業が攻撃を受けた場合を想定しています。

  • mysteel.comからの偽装メールが、 できるだけ多くの社員に行きわたるように送信されます。
  • メールには、ユーザーのパスワードの有効期限が近づいていると記載されています。24 時間以内にmysteel.com/renewalにアクセスしてパスワードを更新するように指示されています。

このリンクをクリックすると、下記事象が起きる可能性があります。

  • ユーザーは 、本物の更新ページとまったく同じように見える偽のページであるmysteel.comrenewal.comにリダイレクトされ、新しいパスワードと既存のパスワードの両方が要求されます。攻撃者は、このページを監視して元のパスワードを乗っ取り、企業ネットワークのセキュリティが保護された領域にアクセスします。
  • ユーザーは実際のパスワード更新ページに送られますが、リダイレクト中に悪意のあるスクリプトがバックグラウンドで起動し、ユーザーのセッション Cookie を乗っ取ります。その結果、 リフレクションXSS 攻撃が発生し、犯人は企業のネットワークへの特権アクセスが可能になります。XSS攻撃とはWeb アプリケーションの脆弱性であり、攻撃者が外部の Web サイトのコンテンツにコード (通常は HTML または JavaScript) を挿入することを可能にします。

メールフィッシング詐欺とは

メールフィッシング攻撃は攻撃者からすると数字のゲームです。数千の詐欺メッセージを送信する攻撃者は、たとえ受信者のほんの一部が詐欺に引っかかったとしても、重要な情報と多額の金銭を盗むことができます。攻撃者は成功率を高めるためにいくつかのテクニックを使用します。

まず、ターゲットとしている組織の実際のメールを模倣するために、フィッシングメッセージを作成するのに多大な労力を費やします。同じ言い回し、書体、ロゴ、署名を使用することで、メッセージが本物であるように見えます。

さらに、攻撃者は通常、受信者に緊急感を抱かせることでユーザーに行動を起こさせようとします。たとえば、前述のように、電子メールでアカウントの有効期限切れを脅かし、受信者に緊急性を抱かせることができます。このようなプレッシャーをかけることで、ユーザーの注意力が散漫になり、ミスを起こしやすくなります。

最後に、メッセージ内のリンクは正規のリンクに似ていますが、通常、ドメイン名のスペルミスや余分なサブドメインがあります。本物と偽物の2 つのアドレスが類似しているため、安全なリンクという印象を与え、受信者は攻撃が行われていることに気づきにくくなります。

フィッシングメールを見分ける方法

一般的な手法

フィッシングメールに騙されないための最善の方法は、フィッシングメールで使用される一般的な手法を知っておくことです。最も一般的な手法には次のようなものがあります。

  1. 個人情報や機密情報の要求:フィッシングメールは、多くの場合、ユーザーを騙してクレジットカード番号やアカウントのパスワードなどの機密情報を漏らそうとします。アカウント情報の確認を求めたり、偽のWebサイトにつながる「安全な」リンクを提供したりすることで、これを行います。
  2. 緊急を要する:フィッシングメールは多くの場合、アカウントが侵害された、または悪影響を回避するためにすぐに行動を起こす必要があると主張して、緊急な対応を求めてきます。
  3. 偽装メールアドレスの使用:フィッシングメールでは、銀行やクレジットカード会社などの正当なソースからのメール アドレスを装った偽装メールアドレスが使用されることがよくあります。また、メールの信頼性を高めるために、正当な会社のロゴやブランドを使用する場合もあります。
  4. 添付ファイルやリンクの添付:フィッシングメールには、個人情報を盗むことを目的とした Web サイトにつながる添付ファイルやリンクが含まれていることがよくあります。これらの Web サイトは正規のWebサイトと同じように見えるかもしれませんが、URL は異なります。

これらの要素のいずれかを含むメールを受信した場合は、返信する前に注意する必要があります。また、メールの送信元とされる会社の Web サイトにアクセスして、フィッシングの試みに関する発表があるかどうかを確認することもできます。

URLとドメイン名の分析

フィッシング攻撃を見抜くには、URL とドメイン名を分析することが重要です。次に、実行すべき重要な方法をいくつか示します。

  • ウェブアドレスを精査する: 正規のサイトに似ている可能性のあるドメイン名の微妙なスペルミスやバリエーションを探します。たとえば、フィッシングの試みでは、「www.amaz0n.com」のようなドメインが使用され、文字「o」がゼロに置き換えられます。
  • HTTPSの確認: URL に「https://」が含まれているかどうかを確認して、サイトが安全であることを確認します。正規のWebサイトは、Webサイトとユーザーの間で送信されるデータを暗号化するために HTTPS を使用します。
  • 短縮 URL を避ける: 悪意のある Web サイトにリダイレクトされる可能性がある短縮 URL (例: bit.ly、t.co) をクリックしないでください。常に完全な URL にアクセスして、その信頼性を確認してください。

フィッシング攻撃とスピアフィッシング攻撃の対策

  • 2 要素認証 (2FA) は、 機密性の高いアプリケーションにログインする際に追加の検証レイヤーを追加するため、フィッシング攻撃に対抗する最も効果的な方法です。2FA は、ユーザーが 2 つの情報 (パスワードやユーザー名などの知っている情報と、スマートフォンなどの所有物) を持っていることに依存します。従業員が侵害された場合でも、2FA は侵害された資格情報の使用を防止します。それだけでは侵入するには不十分だからです。
  • 2FA の使用に加えて、組織は厳格なパスワード管理ポリシーを実施する必要があります。たとえば、従業員にパスワードを頻繁に変更することや、複数のアプリケーションで同じパスワードを再利用できないようにすることを義務付ける必要があります。
  • 定期的な社員教育は、外部の電子メールリンクをクリックしないなどの安全な慣行を実施することで、フィッシング攻撃の脅威を軽減するのにも役立ちます。