フィッシングとは何か
フィッシングは、攻撃者が銀行、クラウドサービス、職場の同僚などの信頼できる存在を装い、被害者を騙してパスワード、クレジットカード番号、その他の資格情報などの機密情報を漏らさせるソーシャルエンジニアリング攻撃の一種です。フィッシングは、電子メール、SMS、電話、偽のウェブサイトなど、さまざまな媒体で発生する可能性があります。
サイバーセキュリティにおけるフィッシングの重要性
フィッシングは最も危険な攻撃手法の一つとなっています。しばしば、より大きな被害、マルウェア感染、ランサムウェアなどの足掛かりとなります。強力なセキュリティシステムを持つ組織でさえ、技術的な脆弱性ではなく人間の信頼を悪用するフィッシングによって敗北する可能性があります。
一般的なフィッシングの種類
- メールフィッシング : 偽のメールが正当なメッセージのように振る舞う
- スピアフィッシング : 組織内の高いプロフィールを持つ個人を特定して狙う非常にターゲットを絞ったフィッシング
- スミッシング : SMSやメッセージングアプリを通じて行われるフィッシング攻撃
- ビッシング : 電話を通じて行われるフィッシング攻撃
- クローンフィッシング : 攻撃者が元のメールをコピーし、リンクや添付ファイルを悪意のあるものに変更する
フィッシング攻撃の兆候
- 疑わしい送信者アドレス
- 迅速な行動を要求する(「今すぐパスワードをリセットしてください」)
- 非常にわずかに綴りが間違っているドメイン
- 機密情報(パスワード、銀行情報、クレジットカードなど)を求める
- 疑わしい添付ファイルやリンク
例
被害者は銀行からのメールを受け取り、「アカウントを確認してください」と要求されます。
メールには、本物と同じように見せかけた偽のウェブサイトへのリンクが含まれています。被害者が偽のウェブサイトに資格情報を入力すると、攻撃者はそれを盗み、実際の銀行口座にアクセスします。
フィッシングから守る方法
- 資格情報が盗まれてもアカウントを保護するためにMFA(多要素認証)を有効にする
- フィッシングに関する意識を従業員に教育する
- 疑わしいメールを避けるためにメールセキュリティゲートウェイとスパムフィルターを使用する
- クリックする前に疑わしいリンクや添付ファイルを確認する
- 侵害されたアカウントの損害を制限するために最小限の権限を実施する
関連用語
- スピアフィッシング
- マルウェア
- ソーシャルエンジニアリング
- MFA
- ランサムウェア