TOPマネジメント > なぜ騙されてしまうのか、巧妙化するフィッシング(中)

マネジメント

なぜ騙されてしまうのか、巧妙化するフィッシング(中)

2019/12/18

Josh Fruhlinger CSO

 フィッシングとは、虚偽メールを使ったサイバー攻撃の手法である。銀行や勤務先などからの連絡を装って、受信者が受け入れそうな偽のメールを送りつけ、リンクをクリックさせたり、添付ファイルを開かせたりする。

前回から続く)

フィッシングの種類

Credit: Vade Secure

 すべてのフィッシング攻撃に共通点があるとすれば、偽装という要素が使われていることだ。攻撃者は、メールの送信元アドレスを偽装したり、信頼できるサイトに見せかけた偽サイトを立ち上げたり、英文字と似て非なる文字を使ったドメイン名でURLを偽装したりといった手を使う。

 だが、フィッシングと一口に言っても、具体的な手法は多種多様だ。フィッシング攻撃を分類する方法の1つとしては、攻撃の狙いによる分け方もある。一般に、フィッシング攻撃で被害者に実行させたいことは、次の2つのどちらかだ。

  • 機密性の高い情報を明らかにさせる:メールでユーザーをだまし、重要な情報を教えてもらおうとする。特に、システムやアカウントへの侵入に使えるユーザー名とパスワードを聞き出そうとするケースが多い。この手の詐欺メールの典型例が、大手銀行からの通知に見せかけた偽メールだ。何百万という人々に向けてメールをばらまけば、受信者の中にその銀行の利用者がある程度含まれているのは間違いない。メールの中のリンクをクリックした人は、銀行のサイトに見せかけた悪質なページにまんまと誘導され、ユーザー名とパスワードを入力してしまう。これで攻撃者は、このユーザーのアカウントにアクセスできる。
  • マルウエアへの感染:スパムメールの多くと同様に、メール受信者のコンピューターをマルウエアに感染させることを狙いとしている。メールはソフトターゲットに向けられることが多い。例えば、就職希望者の履歴書に見せかけたファイルを添付したメールが、企業の人事担当者に届く。zipファイルやMicrosoft Officeドキュメントに悪質なコードが組み込まれている添付ファイルが多い。特によく見られるのはランサムウエアだ。2016年のレポートには、フィッシングメールの93%がランサムウエアへの感染を狙いとしていたとの話も出ている。

↑ページ先頭へ