フィッシングの定義
フィッシング攻撃とは、機密データの窃盗または損壊を目的として、ユーザーをだましてパスワードやクレジット カード番号のような個人情報を明かすように仕向けることです。
フィッシングとは?
フィッシングについて学び、攻撃の兆候を見極める方法や、安全にインターネットを利用するためのツールと対策を知りましょう。
重要なポイント
- フィッシングとは、攻撃者が信頼できる送信元を装って機密情報を盗み取るタイプのサイバー攻撃です。
- これらの攻撃は、本物のように見える偽のメッセージを使って人々をだまし、情報を提供させることで成立します。
- フィッシング攻撃は、不審なメール アドレス、一般的な挨拶文、緊急性や脅迫的な表現、不審なリンクへのクリックを促す要求などから見分けることができます。
- フィッシング攻撃を防ぐ最善の方法は、フィッシング耐性のある多要素認証 (PR-MFA) を使用し、不審なリンクや添付ファイルに注意し、最新のフィッシング手口について常に情報を把握しておくことです。
一般的なフィッシング攻撃の種類
フィッシング攻撃とは、信頼できる送信元を装った詐欺師が、あらゆる種類の機密データへのアクセスを得ようとするサイバー攻撃です。この広範にわたるサイバー攻撃の手法は、新たなテクノロジの登場とともに進化を続けていますが、その戦術自体は一貫しています。
巧妙なコミュニケーション
攻撃者は巧みに被害者を操って機密データを提供させます。具体的には、人々があまり疑いを持たない場所 (その人のメール受信トレイなど) に、悪意のあるメッセージと添付ファイルを潜ませます。受信トレイに届いたメッセージは本物だと思い込みがちですが、用心してください。フィッシング メールの多くは、見た目は安全で控えめです。だまされるのを防ぐには、あわてずに、ハイパーリンクと送信者のメール アドレスを調べてからクリックしてください。
必要性を感じさせる
人々がフィッシングにつられてしまうのは、行動が必要と思い込むからです。たとえば、履歴書に見せかけたマルウェアをダウンロードしてしまうのは、その人が人材を急募しているからであり、怪しい Web サイトで銀行の認証情報を入力してしまうのは、近々失効すると言われた口座を救いたいからです。偽の必要性を感じさせるという手口がよく使われているのは、効果があるからです。自分のデータの安全を保つには、十分に用心しながら操作するか、その大変な作業を代わりにしてくれるメール保護テクノロジをインストールします。
偽の信頼
攻撃者は人々をだますために、偽の信頼感を作り出します。どれだけ注意深い人でも、その詐欺につられてしまいます。信頼できる発信源、たとえば Google や金融機関、運送会社を偽装することによって、フィッシング攻撃者は巧みに、相手が行動を取るよう仕向けます。本人がだまされたと気づくのはその後です。フィッシング メッセージの多くは、高度なサイバーセキュリティ対策が取られていないかぎり、検出されることはありません。個人の秘密情報を保護するには、疑わしいコンテンツを特定するように設計されたメール セキュリティ技術を導入して、自分の受信トレイに届く前に破棄します。
感情に訴えて操る
攻撃者は心理的戦術を使って標的の人物を納得させ、その人は何も考えずに行動します。よく知っている発信源に見せかけて信頼を築いたら、偽の切迫感を作り出し、恐怖や不安などの感情を悪用して、攻撃者は目当てのものを獲得します。人々は、お金を失う、法的問題に巻き込まれる、あるいは絶対に必要なリソースにアクセスできなくなると言われたときに、即座に決断を下す傾向があります。"今すぐ行動" を求めているメッセージには用心してください。それは詐欺かもしれません。
最も一般的なフィッシング攻撃の種類には、以下のようなものがあります。
メール フィッシング
最も一般的なフィッシングの形態です。この種の攻撃では、本物に見せかけたハイパーリンクなどを使ってメール受信者をおびき寄せ、その人の個人情報を提供させるように仕向けます。攻撃者は多くの場合、Microsoft や Google のような大手アカウント プロバイダーを偽装しますが、同僚になりすますこともあります。
マルウェア フィッシング
これもよく使われているフィッシング攻撃手法であり、信頼できるメール添付ファイル (たとえば履歴書や銀行取引記録) に偽装してマルウェアを送り込むというものです。場合によっては、マルウェアが含まれる添付ファイルを開くと IT システム全体が機能停止に陥ります。
スピア フィッシング
フィッシング攻撃のほとんどは投網漁のように大きな網を張るものですが、スピア (spear) フィッシングは魚突きのように特定の個人を標的とするものであり、攻撃者はその人の仕事や社会生活を調査して集めた情報を悪用します。このような攻撃は高度にカスタマイズされているため、基本的なサイバーセキュリティを回避するという点できわめて効果的です。
ホエーリング
企業の幹部や著名人などの大物 ("big fish") を標的とする攻撃はホエーリング (whaling) と呼ばれます。多くの場合、攻撃者は標的の人物についてかなりの調査を行い、ログイン情報などの機密情報を盗む機会を見つけています。失いたくないものが多い人物ならば、ホエーリング攻撃者にとって得るものは多いのです。
スミッシング
"SMS" と "フィッシング" からの造語であるスミッシング (smishing) では、Amazon や FedEx のような企業からの信頼できるコミュニケーションに偽装したテキスト メッセージを送るという手法が使われます。人々が SMS 詐欺に対して特に脆弱なのは、テキスト メッセージがプレーン テキストとして送信され、より個人的な印象を与えるためです。
ビッシング
ビッシング (vishing) とは、詐欺目的のコール センターから電話を使って、相手をだまして機密情報を提供させるという攻撃です。多くの場合は、攻撃者はソーシャル エンジニアリングを使い、被害者をだましてそのデバイスに、アプリの形をしたマルウェアをインストールさせています。
巧妙なコミュニケーション
攻撃者は巧みに被害者を操って機密データを提供させます。具体的には、人々があまり疑いを持たない場所 (その人のメール受信トレイなど) に、悪意のあるメッセージと添付ファイルを潜ませます。受信トレイに届いたメッセージは本物だと思い込みがちですが、用心してください。フィッシング メールの多くは、見た目は安全で控えめです。だまされるのを防ぐには、あわてずに、ハイパーリンクと送信者のメール アドレスを調べてからクリックしてください。
必要性を感じさせる
人々がフィッシングにつられてしまうのは、行動が必要と思い込むからです。たとえば、履歴書に見せかけたマルウェアをダウンロードしてしまうのは、その人が人材を急募しているからであり、怪しい Web サイトで銀行の認証情報を入力してしまうのは、近々失効すると言われた口座を救いたいからです。偽の必要性を感じさせるという手口がよく使われているのは、効果があるからです。自分のデータの安全を保つには、十分に用心しながら操作するか、その大変な作業を代わりにしてくれるメール保護テクノロジをインストールします。
偽の信頼
攻撃者は人々をだますために、偽の信頼感を作り出します。どれだけ注意深い人でも、その詐欺につられてしまいます。信頼できる発信源、たとえば Google や金融機関、運送会社を偽装することによって、フィッシング攻撃者は巧みに、相手が行動を取るよう仕向けます。本人がだまされたと気づくのはその後です。フィッシング メッセージの多くは、高度なサイバーセキュリティ対策が取られていないかぎり、検出されることはありません。個人の秘密情報を保護するには、疑わしいコンテンツを特定するように設計されたメール セキュリティ技術を導入して、自分の受信トレイに届く前に破棄します。
感情に訴えて操る
攻撃者は心理的戦術を使って標的の人物を納得させ、その人は何も考えずに行動します。よく知っている発信源に見せかけて信頼を築いたら、偽の切迫感を作り出し、恐怖や不安などの感情を悪用して、攻撃者は目当てのものを獲得します。人々は、お金を失う、法的問題に巻き込まれる、あるいは絶対に必要なリソースにアクセスできなくなると言われたときに、即座に決断を下す傾向があります。"今すぐ行動" を求めているメッセージには用心してください。それは詐欺かもしれません。
最も一般的なフィッシング攻撃の種類には、以下のようなものがあります。
メール フィッシング
最も一般的なフィッシングの形態です。この種の攻撃では、本物に見せかけたハイパーリンクなどを使ってメール受信者をおびき寄せ、その人の個人情報を提供させるように仕向けます。攻撃者は多くの場合、Microsoft や Google のような大手アカウント プロバイダーを偽装しますが、同僚になりすますこともあります。
マルウェア フィッシング
これもよく使われているフィッシング攻撃手法であり、信頼できるメール添付ファイル (たとえば履歴書や銀行取引記録) に偽装してマルウェアを送り込むというものです。場合によっては、マルウェアが含まれる添付ファイルを開くと IT システム全体が機能停止に陥ります。
スピア フィッシング
フィッシング攻撃のほとんどは投網漁のように大きな網を張るものですが、スピア (spear) フィッシングは魚突きのように特定の個人を標的とするものであり、攻撃者はその人の仕事や社会生活を調査して集めた情報を悪用します。このような攻撃は高度にカスタマイズされているため、基本的なサイバーセキュリティを回避するという点できわめて効果的です。
ホエーリング
企業の幹部や著名人などの大物 ("big fish") を標的とする攻撃はホエーリング (whaling) と呼ばれます。多くの場合、攻撃者は標的の人物についてかなりの調査を行い、ログイン情報などの機密情報を盗む機会を見つけています。失いたくないものが多い人物ならば、ホエーリング攻撃者にとって得るものは多いのです。
スミッシング
"SMS" と "フィッシング" からの造語であるスミッシング (smishing) では、Amazon や FedEx のような企業からの信頼できるコミュニケーションに偽装したテキスト メッセージを送るという手法が使われます。人々が SMS 詐欺に対して特に脆弱なのは、テキスト メッセージがプレーン テキストとして送信され、より個人的な印象を与えるためです。
ビッシング
ビッシング (vishing) とは、詐欺目的のコール センターから電話を使って、相手をだまして機密情報を提供させるという攻撃です。多くの場合は、攻撃者はソーシャル エンジニアリングを使い、被害者をだましてそのデバイスに、アプリの形をしたマルウェアをインストールさせています。
フィッシングの危険性
フィッシング攻撃に遭ってしまった場合の結果は深刻になることもあります。たとえば、お金を失う、不正にクレジット カードに請求される、写真、ビデオ、ファイルにアクセスできなくなるといった事態のほかに、攻撃者が被害者になりすまして他者を危機に陥れることも考えられます。
雇用主にとってのリスクには、企業資金の損失、顧客や同僚の個人情報の漏えい、または機密ファイルの盗難やアクセス不能といった事態が含まれます。データ侵害は、企業の評判に長期的な悪影響を及ぼす可能性もあります。場合によっては、取り返しのつかない損害となります。
Microsoft 脅威インテリジェンスによって追跡された実際の事例には、次のようなものがあります。
雇用主にとってのリスクには、企業資金の損失、顧客や同僚の個人情報の漏えい、または機密ファイルの盗難やアクセス不能といった事態が含まれます。データ侵害は、企業の評判に長期的な悪影響を及ぼす可能性もあります。場合によっては、取り返しのつかない損害となります。
Microsoft 脅威インテリジェンスによって追跡された実際の事例には、次のようなものがあります。
- ロシアの脅威アクターである Star Blizzard は、機密情報を盗み取る目的で、ジャーナリスト、シンクタンク、非政府組織 (NGO) に対してスピア フィッシング メッセージを送信していたことが確認されています。
- 北朝鮮を拠点とする Sapphire Sleet は、主にベンチャー キャピタリスト、次いでプロのリクルーターになりすますことで、1,000 万米ドル以上の暗号資産を盗んだと報告されています。
- Storm-2372 として知られる脅威アクターは、メッセージング アプリの使用体験を悪用し、認証トークンを取得するためのデバイス コード フィッシング キャンペーンを実行していたことが判明しました。
フィッシング攻撃の見分け方
脅威アクターは、特に機密情報へのアクセス権を持つ人物を中心に、幅広い個人を標的にする可能性があります。これらの従業員の多くは、IT、財務、そしてエグゼクティブ レベルといった戦略的な役割を担っています。しかし、脅威アクターは上司を装って従業員に認証情報の提供を "依頼" することもあるため、誰もが不審なメッセージに注意を払う必要があります。
どのフィッシング詐欺も、一番の目標は機密情報や認証情報を盗むことです。電話かメールか SMS かを問わず、機密データや本人確認を求めるメッセージには用心してください。
攻撃者は、標的の人物にとって親しみある存在だと思わせるために、その人が既に知っているブランドまたは個人と同じロゴ、デザイン、インターフェイスを使って念入りに模倣します。常に警戒してください。リンクをクリックしたり添付ファイルを開いたりする前に、そのメッセージが本物であることを確認してください。
フィッシング メールを見分けるためのヒントをいくつか紹介します。
どのフィッシング詐欺も、一番の目標は機密情報や認証情報を盗むことです。電話かメールか SMS かを問わず、機密データや本人確認を求めるメッセージには用心してください。
攻撃者は、標的の人物にとって親しみある存在だと思わせるために、その人が既に知っているブランドまたは個人と同じロゴ、デザイン、インターフェイスを使って念入りに模倣します。常に警戒してください。リンクをクリックしたり添付ファイルを開いたりする前に、そのメッセージが本物であることを確認してください。
フィッシング メールを見分けるためのヒントをいくつか紹介します。
- 今すぐ開いてくださいのような緊急の脅威や行動喚起。
- 見覚えのない送信者。つまり、初めてメールを送ってきた相手です。
- 誤字や文法誤り (多くの場合は不適切な翻訳が原因です)。
- 疑わしいリンクや添付ファイル。ハイパーリンクのテキストを見ると、実際には別の IP アドレスまたはドメインであるという場合です。
- 見つけにくい誤字 (micros0ft.com や rnicrosoft.com など)。
フィッシング攻撃を防ぐ
フィッシング攻撃から身を守るために取るべき実践的な対策には、以下のようなものがあります。
- 兆候を見極める。例としては、見慣れない挨拶文、望まれていないメッセージ、文法やスペルの誤り、緊急性をあおる表現、不審なリンクや添付ファイル、そして個人情報の提供を求める要求などが挙げられます。
- 不審な点があれば報告する。不審なメッセージは、所属組織の IT 部門に報告するか、指定された報告ツールを通じてフラグを立てましょう。
- セキュリティ ソフトウェアをインストールする。フィッシング攻撃を検出・遮断するために設計されたソフトウェア (たとえば、ウイルス対策ソフトウェアやファイアウォール) を導入しましょう。
- 多要素認証 (MFA) を必須とする。この手順は、セキュリティをさらに強化する追加の保護層となります。ソーシャル エンジニアリングに対する防御として、フィッシング耐性のある多要素認証 (PR-MFA) を導入することで、さらに一歩進んだ対策が可能です。
- 教育とトレーニングを通じて常に最新の情報を把握する。定期的な研修を実施することで、あなたや同僚がフィッシング攻撃を見分け、適切な手段で報告できるようになります。攻撃手法は常に進化しているため、サイバーセキュリティの最新動向や脅威インテリジェンスの更新情報を常に把握しておくことが重要です。
フィッシング攻撃への対応
フィッシング攻撃に遭遇した場合は、被害を最小限に抑えるために迅速に対応することが極めて重要です。
- 応答しない。たとえ簡単な返信であっても、攻撃者にあなたのメール アドレスが有効であることを知らせてしまい、それによってさらなる攻撃を試みる動機を与えてしまう可能性があります。
- パスワードを変更する。認証情報が漏えいした疑いがある場合は、直ちにパスワードを変更してください。まだ多要素認証 (MFA) を使用していない場合は、導入を検討しましょう。
- IT チームに警告する。フィッシング攻撃について報告することで、組織全体のネットワークにおける被害を軽減するためのインシデント応答が促される可能性があります。
- フィッシング攻撃を報告する。指定された報告ツールを使用するか、IT チームからの指示に従ってください。
- アカウントを監視する。金融口座などの機密データを含むアカウントは、定期的に不審な活動がないか確認しましょう。
- 同僚を教育する。フィッシング攻撃があったこと、そして注意すべきポイントについてチームに共有しましょう。この簡単な一歩が、全体の防御力を高めることにつながります。
フィッシングのトレンド
脅威アクターは、さまざまなマルウェアを用いてフィッシング攻撃を実行します。最も一般的なものには、以下が含まれます。
マルウェアの急速な進化を受けて、セキュリティ専門家も同様の技術を開発し、AI をサイバーセキュリティに活用するようになっています。
- ランサムウェアは、最も一般的なマルウェアの一種です。それは、ファイルを暗号化したりコンピューターの画面をロックしたりすることでデータへのアクセスを制限し、その後、データへのアクセスと引き換えに身代金を要求して被害者から金銭を脅し取ろうとします。
- スパイウェアはデバイスに感染し、そのデバイス上やオンラインでの活動を監視し、ログイン認証情報や個人データなどの機密情報を収集します。
- ボットは攻撃者によってデバイスに感染させられ、制御されることを可能にします。ボットネットとは、ボットのネットワークであり、コマンド&コントロール (C&C) サーバーを利用して、より広範囲にわたる悪意ある活動を実行するものです。
- ウイルスは、最も古くから存在するマルウェアの一種です。それらは正常なファイルに付着し、他のファイルやプログラムへと拡散していきます。
- トロイの木馬は、通常のソフトウェアを装ってユーザーをだまします。一度インストールされると、悪意のあるコードを拡散し、デバイスを制御下に置いたり、他のマルウェアが侵入するためのバックドアを作成したりします。
マルウェアの急速な進化を受けて、セキュリティ専門家も同様の技術を開発し、AI をサイバーセキュリティに活用するようになっています。
- 拡張検知および対応 (XDR) ソリューションは、エンドポイント検知および対応 (EDR)、AI や機械学習 (ML) などのツールを統合し、単一のクラウドベースのプラットフォームとして提供されます。
- マネージド検知および対応 (MDR) は、テクノロジと人間の専門知識を組み合わせて、サイバーセキュリティを強化する仕組みです。
- セキュリティ情報およびイベント管理 (SIEM) ソリューションは、さまざまな情報源からのデータを分析することで、脅威の検知とインシデント対応を強化します。
フィッシング攻撃から自分を守る
フィッシング攻撃から自分自身と自社を守るには、警戒心、教育、そして強固なセキュリティ対策を組み合わせることが不可欠です。定期的なトレーニングや啓発プログラムは、あなたや同僚がフィッシング攻撃を認識し、適切に対応する力を高めるのに役立ちます。強力で他と重複しないパスワードを使用し、多要素認証 (MFA) を導入し、不審なメッセージは IT 部門に報告するようにしましょう。
組織は、Microsoft Defender for Office 365 を活用することで、アプリやデバイスをフィッシングやその他のサイバー脅威から保護することができます。それは、メールやコラボレーション ツールのセキュリティを強化し、高度な保護を提供することで、企業全体のセキュリティ態勢を向上させます。Defender for Office 365 は、AI を活用した脅威の検知および対応機能、自動修復機能、そしてサイバー攻撃のシミュレーショント レーニングを提供することで、進化し続ける脅威に先手を打つための支援を行います。
組織は、Microsoft Defender for Office 365 を活用することで、アプリやデバイスをフィッシングやその他のサイバー脅威から保護することができます。それは、メールやコラボレーション ツールのセキュリティを強化し、高度な保護を提供することで、企業全体のセキュリティ態勢を向上させます。Defender for Office 365 は、AI を活用した脅威の検知および対応機能、自動修復機能、そしてサイバー攻撃のシミュレーショント レーニングを提供することで、進化し続ける脅威に先手を打つための支援を行います。
予防策
フィッシングを回避するための簡単なヒント
表示された名前を信用しない
メッセージを開く前に送信者のメール アドレスを確認します。表示された名前は偽装の可能性もあります。
誤字の有無を調べる
誤字脱字や文法の誤りは、フィッシング メールでよく見られます。おかしいと思ったら、警戒しましょう。
クリックする前によく見る
真正に見えるコンテンツでも、その中にあるハイパーリンクにマウス カーソルを合わせてリンク アドレスを調べます。
あいさつ文を読む
メールの書き出しが自分の名前宛てではなく「大切なお客様へ」の場合は、用心しましょう。詐欺の可能性があります。
署名を確認する
メールの末尾に連絡先情報があるかどうかを調べます。本物の送信者は、常に連絡先を記載しています。
脅威に用心する
「アカウントが一時停止されました」のような不安をあおる文言は、フィッシング メールでよく使われています。
リソース
Microsoft Security がフィッシング対策にどのように役立つかを学ぶ
ソリューション
フィッシングからの保護と防止のソリューション
強力なメール セキュリティと認証を活用して、フィッシング攻撃の検出と修復を支援しましょう。
ソリューション
統合型のセキュリティ オペレーション
1 つの強力なセキュリティ オペレーション プラットフォームでサイバー脅威に対抗できます。
脅威に対する保護ポータル
サイバーセキュリティと AI のニュース
フィッシングに対する保護とサイバーセキュリティのための AI の最新の傾向とベスト プラクティスをご確認ください。
よく寄せられる質問
よく寄せられる質問
- フィッシングとは、攻撃者がユーザー名、パスワード、クレジットカード番号、その他の個人情報などの機密情報をだまし取ろうとするサイバー攻撃の一種です。これは通常、メール、テキスト メッセージ、または Web サイトなどの電子的な通信手段において、信頼できる存在を装うことで行われます。
- 多くの場合、攻撃者はメール、SMS (テキスト メッセージ)、電話、または Web サイトを通じて受信者にメッセージを送信します。そのメッセージは受信者に合わせて作成されており、正規の送信元からのように見せかけて、機密情報の送信を緊急に求めたり、認証情報を盗み取るために偽の Web サイトへ誘導するリンクをクリックさせようとします。
- フィッシング攻撃から身を守る最善の方法は、デバイスをフィッシング耐性のある多要素認証 (PR-MFA) に対応させておくことです。不審に見えるコンテンツは、組織のセキュリティ チームに報告するようにしましょう。フィッシング攻撃を見抜き、適切に対応できるようにするためには、トレーニングや啓発プログラムに参加して常に最新の情報を把握しておくことも重要です。
-
一般的なフィッシング攻撃には、次のようなものがあります。
- メール フィッシング (最も一般的な手口): 攻撃者は正規のメールに見せかけたメッセージを送信し、受信者に対して「企業のリソースへのアクセスを失う:などと急かして、迅速な対応を促します。
- スミッシング: SMS を利用したフィッシング手法で、受信者にリンクをクリックさせたり、情報を提供させたりするよう促します。
- スピア フィッシング: 攻撃者が上司などの信頼できる人物になりすまし、情報を盗み取ろうとする標的型の手法です。
- ビッシング: 電話を通じてフィッシングを行い、機密情報を収集します。
- フィッシングは、情報を盗み取る最も効果的な手段のひとつであり、個人および組織の双方に深刻な影響を及ぼす可能性があります。フィッシング攻撃が成功すると、個人情報や業務上の情報が漏洩し、機密データへの不正アクセス、金銭的損失、そして信用の失墜といった深刻な被害につながる可能性があります。
Microsoft Security をフォロー