フィッシング攻撃 - 攻撃手法と対策について -　サイバーフォートレス

はじめに

新型コロナウイルス感染症（COVID-19）の拡大に伴い、テレワークを導入する企業が増えています。一方で在宅ワーカや個人をターゲットとしたサイバー攻撃も併せて増加傾向にあります。今回は増加傾向にあるサイバー攻撃のなかでもフィッシング攻撃について説明していきます。

フィッシング攻撃とは

フィッシング攻撃とは、送信者を詐称した電子メールを送りつけたり、電子メールやSMS、Webサイトなどにリンクを置き、リンクから偽サイト (フィッシングサイト) に誘導し、クレジットカード番号、アカウント情報（ユーザID、パスワードなど）といった重要な個人情報を盗み出すサイバー犯罪行為です。

フィッシング攻撃の種類

スピアフィッシング
組織や特定の個人を標的とするようにカスタマイズした攻撃です。攻撃者は実行前に情報収集を行い、SNSやメールやウェブサイトアドレス、取引先、そして時にはターゲットの職務および個人の経歴などの要素も取り込まれ、正当なメールに見えるように偽装します。

→ホエーリング
スピアフィッシングの亜種で、組織の幹部または最高責任者を狙う。

→クローンフィッシング
スピアフィッシングの亜種で、過去に受け取ったことがある正当なメッセージのコピーがターゲットに表示されますが、攻撃者がターゲットを陥れるためにURLの変更や添付ファイルに手が加えられている攻撃です。

フィッシング攻撃の方法

リンクスプーフィング
悪意のあるURLを本物のURLに似せて見えるようにし、ユーザーがわずかな違いに気付かず、悪意のあるURLをクリックさせる方法です。

ウェブサイトスプーフィング
ウェブサイトをスプーフィングし、FlashやJavaScriptなどを使って真正のものに見えるように見せる方法です。

フィッシング攻撃の予防方法

教育と訓練
サイバー犯罪者がどのような手口を使ってくるのか知っておくことが、一番根本的な予防となります。フィッシング詐欺の検知と予防に関する定期的なセキュリティ意識の訓練や教育を実施し、さらに予告なしのフィッシング訓練を定期的に行うことで、学習した知識を強化し、実践してもらいます。そうすることで、ユーザーは最新のフィッシング攻撃について常に意識を持つことができ、実際に攻撃された際の対処法を身に付けることができます。

疑わしいメールのフィルタリング
フィルタリングソリューションを導入することで悪意のある添付ファイルをユーザーに届く前に削除および検疫します。
例)疑わしい添付ファイル、URLリンクなど

OS、セキュリティソフトを最新の状態にする
スマホやタブレット、パソコンのOS・セキュリティソフトのバージョンアップデートを最新化することにより、対策済みのセキュリティーホールを塞いでおくことができます。

攻撃手法のトレンド

新型コロナウイルス感染症に便乗したフィッシング攻撃

世界的に蔓延している新型コロナウイルスに便乗した様々な手口のフィッシング攻撃への注意
下記はいずれも他のサイトに誘導し個人情報を入手することが目的です。

・マスクの購入に当選したと連絡するメール
・テレワークでよく使うツールの招待メールに見せかけたメール
・新型コロナウイルス対策給付金の手続きに見せかけたメール
・厚生労働省をかたる偽サイト、偽アンケート

ショッピングサイトへの偽装

普段使用しているショッピングサイトになりすましたフィッシング攻撃に注意が必要です。
正式なメールに見えるようロゴをメールに張り付けることで深く確認せずにクリックさせる手法です。

・amazonによる新しいデバイスでのアクセス確認を装った手口
・AppleによるAppleIDの確認を装った手口
・楽天の名前を語った手口

終わりに

フィッシングは次々と新しい手口が生み出され、巧妙化されています。個人をターゲットにすることが多く、１人でもセキュリティ意識が欠けているとそこを切り口に所属企業への攻撃の足掛かりとして利用される可能性もあります。セキュリティサービスを利用することで悪意のあるメールを遮断し、尚且つ社員への教育を徹底することが好ましいです。