フィッシングの定義

フィッシングとは、認証情報や機密情報を窃取する目的で、信頼できる人や組織になりすます詐欺です。Eメールがフィッシング攻撃として最も一般的ですが、フィッシング詐欺の種類によっては、テキストメッセージや音声メッセージを使用した攻撃もあります。

フィッシング攻撃の仕組み

典型的なフィッシング攻撃は、脅威アクターが、悪意のあるリンクを誰かがクリックすることを期待して大量のEメールを送信することから始まります。

そうした脅威アクターは、個人の犯罪者であろうと国家規模であろうと、そのようなメッセージが正当に見えるように作り上げます。フィッシングメールは、銀行、雇用主、上司からのものであるかのように見せかけたり、政府機関になりすまして情報を強制的に引き出す手法を使用したりします。

その目的には、ランサムウェアの展開、既存のアカウントの認証情報の窃盗、不正なアカウントを新たに開設するために必要な情報の取得、単純なエンドポイントの侵害などがあります。悪意のあるフィッシングリンクを1回でもクリックすると、こうした問題が発生する可能性があります。

フィッシング攻撃のテクニック

1. Eメールフィッシング

スピアフィッシング

スピアフィッシングは、特定の個人またはグループを標的とするフィッシング攻撃です。Helix Kittenとして知られるある攻撃者グループは、特定の業界の個人を調査してその人の興味を把握し、その個人にアピールするためにスピアフィッシングメッセージを作成します。被害者は、より価値のある目標に到達するための標的になっている可能性があります。たとえば、中堅レベルの財務スペシャリストが標的にされるのは、機密情報へのアクセスがより豊富な財務幹部のEメールアドレスが連絡先リストに含まれていることが理由である可能性があります。その上級幹部が、攻撃の次の段階で標的になるわけです。

Whale Phishing（ホエーリング）

ホエーリングはビジネスEメール攻撃（BEC）の1形態で、CEOやCFOなどの上級者を攻撃対象とするスピアフィッシングの一種です。ホエーリングでは通常、緊急である感覚を出すことで被害者に切迫感を与え、資金を送金したり、悪意のあるWebサイトに認証情報を共有したりさせます。

2. 音声フィッシング（ビッシング）

ビッシングは電話で実施されるフィッシング攻撃です。これらの攻撃では、場合により偽の発信者IDプロファイルを使用して、正当な企業や政府機関、慈善団体になりすまします。通話の目的は、銀行口座番号やクレジットカード番号などの個人情報を盗むことです。

3. SMSフィッシング（スミッシング）

スミッシングは、EメールではなくSMSメッセージを介して行われるフィッシング活動です。スミッシング攻撃により、ウイルスが直接ダウンロードされる可能性はほとんどありません。その代わりに、悪意のあるアプリやコンテンツをダウンロードするように誘惑するサイトにアクセスするよう、ユーザーを誘惑するのが通常です。