TOPセキュリティ > フィッシングの主な種類とそれぞれの特徴(中)

セキュリティ

フィッシングの主な種類とそれぞれの特徴(中)

2020/12/16

Fahmida Y. Rashid CSO

 典型的な流れとしては、攻撃者はまず、何らかの感染やスピアフィッシングを通じて、企業幹部のメールアカウントへのアクセス権を得る。その後しばらくは、その幹部がやりとりするメールをひそかに監視し、社内のプロセスや手順について把握する。そのうえで攻撃者は、その幹部がよくメールでやりとりしている相手に向けて、通常とは別の口座に緊急で金を振り込むよう依頼するメールを、本人になりすまして送る。こうして振り込まれたお金は、最終的に攻撃者の懐に入ることになる。

 Anti-Phishing Working Groupのレポート「Phishing Activity Trends Report」(2020年第2四半期版)によると、BECの振り込みによる平均損失額は増加傾向にある。この期に試みられた振り込みの平均額は、8万0183ドルだった。

クローンフィッシング:本物のメールをコピー

 クローンフィッシングとは、実際に送られたことがあるメールをほぼコピーした文面を使って、受取人をだます手口だ。「一部修正を加えたので再送する」など、もっともらしい理由を付けて、以前の内容とそっくりなメールを、本物に似たアドレスから送る。だが、その添付ファイルやリンクは、悪質なものに置き換わっている。

 本物のメールを基にしているので、ターゲットがだまされる可能性は高い。攻撃者としては、誰か1人がこれに引っかかったら、同じ本物メールを受け取ったことがある別の人に対象を広げることもできる。また、本物そっくりなサイトを偽のドメインで作成して利用者をだます手法も、同じ系統の攻撃と言える。

ビッシング:電話の音声を利用

 ビッシング(vishing)とは、ボイスフィッシング(voice phishing)の略で、電話の音声メッセージを使うフィッシングの手法だ。例えば、金融機関からのセキュリティ上の連絡と偽って、音声メッセージを使った電話をかけ、指定した番号に折り返し電話して口座番号と暗証番号を入力せよ、といった指示を出す。これにだまされた人は、攻撃者に自分の口座情報を教えることになる。

 2019年には、Appleの名をかたる巧妙なビッシングの事例があった。Appleのサポート担当者になりすまし、セキュリティ上の問題を解決するためと称して、iPhoneユーザーから電話で情報を得ようとするものだった。Windowsで古くからある技術サポート詐欺と同じで、デバイスがハッキングを受けたのではないかというユーザーの不安につけ込む詐欺だった。

翻訳:内山卓則=ニューズフロント

↑ページ先頭へ