フィッシング攻撃 - Cyber SEC TSM | サイバーセキュリティTSM

フィッシング攻撃は、サイバー犯罪の一形態で、攻撃者が個人情報、金融情報、ログイン資格情報などを盗むために、信頼できる機関や人物になりすます手法です。以下に、フィッシング攻撃の種類、手法、対策などについて網羅的に解説します。

### 1. **フィッシング攻撃の概要**
フィッシング攻撃は、電子メール、SMS、ソーシャルメディア、またはその他の通信手段を介して行われ、攻撃者は信頼できる組織や個人を装い、ターゲットに対して偽のメッセージを送ります。ターゲットが騙されて偽のリンクをクリックしたり、悪意のある添付ファイルを開いたりすると、攻撃者は個人情報を取得したり、デバイスにマルウェアを感染させたりします。

### 2. **フィッシング攻撃の種類**
フィッシング攻撃にはさまざまな種類があり、ターゲットや手法に応じて分類されます。

#### 2.1 **通常のフィッシング (Phishing)**

• **手法**: 多くの場合、攻撃者は不特定多数のターゲットに対して、銀行、クレジットカード会社、またはその他の信頼できるサービスを装った偽の電子メールを送信します。このメールには、ターゲットに偽のウェブサイトに誘導するリンクが含まれており、そのサイトで個人情報を入力させます。

#### 2.2 **スピアフィッシング (Spear Phishing)**

• **手法**: スピアフィッシングは、特定の個人や組織をターゲットにしたフィッシング攻撃です。攻撃者はターゲットに関する情報（名前、役職、業務内容など）を収集し、より信憑性のあるメールやメッセージを作成します。これは、標的がメールの信憑性を疑わずに応答する可能性を高めます。

#### 2.3 **クジラ釣り (Whaling)**

• **手法**: クジラ釣りは、企業の幹部や著名人など、高い地位にある人物をターゲットにしたスピアフィッシングの一種です。攻撃者は、重要なビジネス文書や法律関連の通知など、ターゲットの職務に関連した内容でアプローチします。

#### 2.4 **ビッシング (Vishing)**

• **手法**: ビッシングは、電話を介したフィッシング攻撃です。攻撃者は銀行の担当者や警察官を装い、ターゲットに電話をかけて個人情報や金融情報を聞き出そうとします。

#### 2.5 **スミッシング (Smishing)**

• **手法**: スミッシングは、SMS（ショートメッセージサービス）を利用したフィッシング攻撃です。攻撃者は信頼できるサービスからの緊急メッセージを装い、ターゲットを偽のウェブサイトに誘導します。

#### 2.6 **クラウドフィッシング**

• **手法**: クラウドベースのサービス（例：Google Drive、Dropbox）をターゲットにしたフィッシングです。攻撃者は、ターゲットにクラウドサービスの偽のログインページにアクセスさせ、資格情報を盗み取ります。

### 3. **フィッシングの技術的手法**
フィッシング攻撃には、ターゲットを欺くためのさまざまな技術的手法が使用されます。

#### 3.1 **偽サイトの作成**

• **手法**: 攻撃者は、ターゲットが通常利用するウェブサイト（銀行、ショッピングサイトなど）を模倣した偽のサイトを作成します。この偽サイトのURLは、正規のサイトのURLに非常に似せて作られることが多く、ターゲットが疑わずにログイン情報を入力するように誘導します。

#### 3.2 **メールスプーフィング**

• **手法**: メールスプーフィングでは、攻撃者が偽の送信者アドレスを使って電子メールを送信し、ターゲットが信頼できる送信元からのメッセージだと誤認させます。これにより、ターゲットが添付ファイルを開いたり、リンクをクリックしたりする可能性が高まります。

#### 3.3 **悪意のある添付ファイル**

• **手法**: 攻撃者は、悪意のあるマルウェアやウイルスが仕込まれたファイルを添付し、ターゲットにそれを開かせます。これにより、ターゲットのコンピュータが感染し、データが盗まれたりシステムが乗っ取られたりします。

#### 3.4 **クロスサイトスクリプティング (XSS)**

• **手法**: 攻撃者は、正規のウェブサイトに悪意のあるスクリプトを挿入し、ターゲットがそのページにアクセスしたときに個人情報を収集します。

### 4. **フィッシング攻撃の例**

• **金融機関を装ったメール**: 攻撃者が銀行やクレジットカード会社を装い、「アカウントに不審な活動がありました」「パスワードをリセットしてください」といった内容のメールを送信します。
• **ソーシャルメディアの偽通知**: 攻撃者がFacebookやTwitterなどのソーシャルメディアの通知を装い、偽のログインページに誘導します。
• **企業内フィッシングテスト**: 一部の企業では、従業員のセキュリティ意識を高めるために、社内でフィッシングテストを実施しています。これは、従業員がどのようにフィッシングメールに対応するかを評価するためです。

### 5. **フィッシング対策**
フィッシング攻撃に対抗するためには、以下のような対策が重要です。

#### 5.1 **ユーザー教育**

• **内容**: 従業員やユーザーに対して、フィッシング攻撃のリスクとその識別方法について教育することが最も基本的な防御策です。不審なメールやリンクに対して慎重になるよう促します。

#### 5.2 **二要素認証 (2FA)**

• **内容**: ログインプロセスにおいて、パスワードに加えて二次的な認証要素（例：SMSコード、認証アプリ）が必要になることで、不正なログインを防ぎます。

#### 5.3 **アンチフィッシングソフトウェア**

• **内容**: メールフィルタリング、ウェブフィルタリング、アンチウイルスソフトウェアを使用して、フィッシングメールや悪意のあるウェブサイトへのアクセスをブロックします。

#### 5.4 **フィッシングテスト**

• **内容**: 企業が定期的にフィッシングテストを実施し、従業員がどのように対応するかを評価し、必要な教育を提供します。

#### 5.5 **セキュリティ意識向上トレーニング**

• **内容**: 組織全体でセキュリティ意識を向上させるためのトレーニングを定期的に行い、フィッシング攻撃に対する準備を整えます。

### 6. **フィッシング攻撃の影響**
フィッシング攻撃の成功は、個人情報の漏洩、金銭的損失、企業の機密データの流出、そしてブランドイメージの損失など、非常に深刻な影響を及ぼします。特に、ビジネスメール詐欺（BEC）やスピアフィッシングによって大規模な金銭的被害を受ける企業が増えており、セキュリティ対策がますます重要視されています。

フィッシング攻撃は年々巧妙化しており、攻撃の検出と防御が難しくなっているため、技術的な対策とユーザー教育の両方が欠かせません。