TOPマネジメント > なぜ騙されてしまうのか、巧妙化するフィッシング(上)

マネジメント

なぜ騙されてしまうのか、巧妙化するフィッシング(上)

2019/12/16

Josh Fruhlinger CSO

 フィッシングとは、虚偽メールを使ったサイバー攻撃の手法である。銀行や勤務先などからの連絡を装って、受信者が受け入れそうな偽のメールを送りつけ、リンクをクリックさせたり、添付ファイルを開かせたりする。

Credit: Duo Security

 フィッシングの特徴は、実在する人物(あるいは実在しそうな人物)になりすましたり、取引先の企業になりすましたりといった形で、信頼できるメッセージを装っている点にある。フィッシングは1990年代から存在し、サイバー攻撃の手法の中ではかなり古い部類に属するが、そのメッセージや手口はますます巧妙化しており、今も深刻な被害を広範囲にもたらしている。

 フィッシング(phishing)という言葉は釣り(fishing)に由来し、発音も同じだ。釣り糸を投げ入れて餌を魚に食べさせようとするイメージである。この言葉は、1990年代半ばに、AOLユーザーをだましてログイン情報を奪うハッカーの間で使われるようになった。つづりの先頭が「ph」となっているのは、ハッカー特有の慣習の1つで、またおそらくは「フリーキング(phreaking)」という言葉の影響も受けている。フリーキングとは、古い時代の電話のハッキング手法だ。接続時のトーンを電話口に流すことで、遠距離通話の料金を無料にできる手法だった。

 米Verizonの「2019 Data Breach Investigations Report」によると、過去1年間に発生したセキュリティ侵害の3分の1近くはフィッシング絡みだった。サイバースパイの攻撃ともなると78%に及ぶ。フィッシングに関する2019年の話題で特に憂慮されるのは、そのまま使える質の高いツールやテンプレートによって攻撃側の遂行能力が大きく上がっていることだ。

 これまでに、フィッシング詐欺が大きな波乱を招いた事例としては以下がある。

  • 2016年の米大統領選で、Hillary Clinton候補の陣営の選対責任者だったJohn Podesta氏が、Gmailのパスワードをフィッシングで盗まれた。結果の重大さという点では、フィッシング攻撃の歴史に残る事例かもしれない。
  • 2014年、米AppleのiCloudから、著名人のプライベート写真が流出した。「Fappening」とも呼ばれているこの事例は、当初はiCloudサーバーのセキュリティの不備かとも言われていたが、実際はフィッシング攻撃によるものだった。
  • 2016年、カンザス大学の職員がフィッシングメールにだまされて、自らの給与受け取りに関する情報を教えてしまい、収入を奪われた。

↑ページ先頭へ