フィッシング

初級

フィッシングとは？

フィッシングとは、サイバー攻撃の一種で、犯人が個人を騙してログイン情報、金融情報、個人識別情報などの機密情報を漏らさせようとするものです。これは通常、一見正当なEメール、メッセージ、ウェブサイトを通じて行われますが、実際には詐欺的なものです。

フィッシングの主な特徴

詐欺的なEメールやメッセージ

フィッシング攻撃には、銀行、オンラインサービス、同僚など、一見信頼できそうな情報源からのEメールやメッセージが使われることがよくあります。これらの連絡は通常、リンクのクリックや添付ファイルのダウンロードなど、緊急感を煽りながら即座の行動を促します。

偽のウェブサイト

攻撃者は、正規のサイトに似せた偽のウェブサイトを作成し、被害者が情報を入力した際に、ログイン認証情報や個人情報を取得します。

ソーシャルエンジニアリング

フィッシングはソーシャルエンジニアリングを多用し、被害者の信頼や恐怖心を利用して、被害者が普段行わないような行動を取るように仕向けます。

一般的なフィッシング攻撃の種類

スピアフィッシング

これらの標的型攻撃はパーソナライズされており、多くの場合、被害者に関連する情報が含まれているため、信憑性が高くなります。

ホエーリング

著名人をターゲットにしたスピアフィッシングの一種で、その権限と機密情報へのアクセスを悪用するように綿密に設計されています。

クローンフィッシング

攻撃者は、被害者が以前に受信した正当なメールをクローンし、わずかに変更して悪意のあるリンクや添付ファイルを含め、受信者を騙して本物だと信じ込ませます。

ビッシングとスミッシング

ビッシングは音声通話を介して実行されるフィッシング攻撃であり、スミッシングはSMSまたはテキストメッセージを使用して、口頭または書面によるコミュニケーションを通じて被害者から機密情報を引き出します。

フィッシング攻撃の見分け方と予防策

フィッシングを見分けるには、緊急性や恐怖を煽るような迷惑メールやメッセージに注意し、差出人のメールアドレスに矛盾がないか、リンクにカーソルを合わせて真偽を確かめ、スペルミスや文法ミスに注意し、予期せぬ機密情報の要求には用心することです。予防策として、メールフィルターの活用、多要素認証（MFA）の導入、ソフトウェアやシステムの定期的なアップデート、フィッシングの兆候や安全なオンラインプラクティスに関する教育、疑わしいメッセージに直接返信するのではなく、組織との直接のコミュニケーションを通じて機密情報の要求を確認することなどが挙げられます。