フィッシング攻撃 🎯

フィッシング攻撃とは

フィッシングとは、ログイン情報やクレジットカード情報などのユーザ情報を狙う、一般的なソーシャルエンジニアリング攻撃です。攻撃者が信頼できる送信元を装い、被害者がメール、SMS、またはメッセージを開くと、危険なリンクをクリックさせ、マルウェアのインストールやランサムウェアによるシステムのロック、さらには個人情報の流出を引き起こします。

また、フィッシングはAPTなどの大規模な攻撃の一環として、企業や政府機関に近づくためにも用いられます。攻撃者は従業員を狙い、セキュリティ対策を回避しながら内部にマルウェアを仕込んだり、個人情報にアクセスしたりします。

このような攻撃に遭うと、企業は多大な金銭的損失だけでなく、市場シェア、評判、顧客信頼も失う可能性があります。攻撃規模によっては、回復が非常に困難なセキュリティ事故となることもあります。

‍

フィッシングの歴史

1990年代、開発者が虚偽のメッセージを使い、利用者から情報を釣り出す手口が登場し、「フィッシング」という言葉が生まれました。初期の攻撃者は「phreaks」と呼ばれていたことに由来し、現在もその手法は進化を続けています。フィッシングメールは受信者を巧みに罠に誘い、結果的に利用者と組織の双方に被害をもたらします。

また、AOLがインターネットアクセスで有名だった時代、攻撃者はAOLの従業員を装い、利用者にログイン情報を明かさせ、アカウントを乗っ取る手口が取られていました。

2000年代には、攻撃者が銀行を装い、フィッシングメールで利用者に銀行情報を入力させる事例が増加しました。メール内のリンクは、本物の金融機関サイトを偽装しており、ほんの僅かに異なるURL（例：paypal.comではなくpaypai.com）に誘導され、eBayやGoogleなど他のサービスへも同様の手口で被害が広がりました。

‍

実際のフィッシング攻撃

攻撃者は、SNSや公開情報から被害者のプライベートや業務に関する情報（名前、職業、メールアドレス、趣味など）を収集し、これを元に巧妙なフィッシングメールを作成します。

受信するメールは、著名な個人や企業からのものに見せかけ、不正なサイトや有害なリンクを含む場合があります。攻撃者はまた、銀行や職場、企業を装った偽サイトを作り、そこでログイン情報や支払い情報などを盗み出そうとします。

不自然な表現や誤ったフォント、ロゴ、デザインの乱れは、フィッシングメールを見破る手がかりとなりますが、一方で攻撃者はこれらを本物そっくりに仕上げるため、手口は日々巧妙化しています。

‍

フィッシングの兆候

• 危機感や緊急性

恐ろしい結果を煽るメールや、至急対応を求めるメッセージは常に疑うべきです。攻撃者は、受信者が急いで確認することで、内容の不自然さに気づかれないことを狙っています。

• メールの文体

文体や言葉遣いが普段と異なる場合は注意が必要です。たとえば、同僚が通常使わないくだけた表現や、親しい友人が不自然に丁寧な言葉遣いをする場合、疑念を抱くべきでしょう。

• 異常な要求

通常と異なる行動を求めるメールは、危険な可能性が高いです。特定のIT部門を装って、通常は行わない作業を求める場合など、明らかに偽のメールと言えます。

• 言語の誤り

文法やスペルの誤りも、フィッシングメールの兆候です。大抵の企業はメールにスペルチェックを導入しているため、誤りがあるメールは公式の送信元ではない可能性が高いです。

• URLの違い

不審なメールアドレス、URL、ドメイン名の違いも攻撃を見破る手がかりです。送信元のアドレスと一致するかを確認してください。

リンクをクリックする前には、リンク先のURLを確認してください。たとえば、Bank of Americaからのように見えても、リンク先に「bankofamerica.com」が含まれていなければ、フィッシングメールの可能性があります。

• 個人情報の入力要求

正規に見えるメールであっても、偽のログインページへ誘導するケースが多く見られます。フィッシングメールでは、ログインフォームや銀行情報の入力要求が表示されるため、予期しないメールの場合はリンクをクリックせず、公式サイトに直接アクセスすることが推奨されます。

フィッシングのシナリオの種類

ウィキペディアの定義によると、フィッシングは主にメール、インスタントメッセージ、SMSで行われます。利用者から個人情報をだまし取る手法であり、malwareやransomwareをシステムにダウンロードさせるための手口でもあります。いずれの場合も、攻撃者は機密情報へのアクセスを得ます。

攻撃手法が多様化することで、この脅威は日々巧妙になっています。以下は代表的なフィッシングシナリオです:

1. メールフィッシング

もっとも一般的な手法は、正規企業を装った悪意あるメールを大量に送信するものです。大量送信されるため、一定の成功率が見込まれます。

2. クローンフィッシング

実際に受信したメールの複製を作成し、リンクや添付ファイルを悪意あるものに置き換える手法です。

元のメールに不具合があったと説明して再送させるため、受信者は警戒心を持ちにくいのが特徴です。

このようなリンクをクリックすると、デバイスにマルウェアが仕込まれたり、知らず知らずのうちに攻撃者にアクセス権を与えてしまいます。

クローンフィッシングでは、キャンペーンの期間限定感や、パスワード変更をしないとアカウントが停止されるなどの緊迫感が演出されることが多いです。

3. ドメイン詐称

ドメイン詐称では、著名な企業のドメイン名を偽装することで、正規企業からのメールに見せかけます。

メールアドレスは一意のため、完全に模倣はできません。たとえば、'm'を'rn'に置換するなど、見かけだけ似せる手法が用いられ、受信者にはローカル部分のみが表示される場合があります。

また、本物そっくりの偽サイトが作成されることもありますが、実際は細部が異なるため正規サイトとは異なります。

4. スピアフィッシング

これは、一般の利用者全体ではなく、特定の個人またはグループを狙う手法です。

攻撃者は、受信者の名前、所属、電話番号などを用いて、個別にカスタマイズしたメールを送信し、送信者と何らかの繋がりがあると信じ込ませます。

信頼性の高いメールを作成するには、さまざまな情報を収集する必要があるため、LinkedInなどのSNSでソーシャルエンジニアリングが用いられることが多いです。

この手法では、対象はプロジェクトマネージャーや部門長など、組織内の要職者が狙われ、成功すると攻撃者は資格情報を盗み、社内の機密領域にアクセスします。

5. ホエーリング

ホエーリングは、組織の最高権限者、例えばCEOなどの裕福な個人を狙うスピアフィッシングの一種です。攻撃者は偽のメールにより、経営者からログイン情報を引き出そうとします。通常のフィッシングよりも高位の人物を狙うため、偽のURLや悪質なリンクを税務関連のメールとして送るケースが見られ、メールには対象者の名前や役職などの情報が含まれています。

ホエーリング攻撃が成功すると、しばしばAPTの前兆となり、多くの場合、攻撃者はCEOの資格情報を利用してCEO詐欺を行います。

6. CEO詐欺

その名の通り、CEOを装って行われる詐欺です。CEOのメールアカウントを乗っ取ることで、第三者への送金や、従業員に代わって偽の税務申告を行わせることが可能となります。

対象が下位職の従業員であるため、CEOからの緊急メールには迅速に対応してしまいがちです。また、従業員に新たなアプリのインストールを求め、そこからマルウェアやランサムウェアを仕込む手口も見受けられます。

CEO詐欺は非常に巧妙で、米国では年間で数十億ドルの損失が報告されています。

7. エビルツイン

悪意あるWi-Fiネットワークほど危険なものはあるだろうか。

多くの利用者が高速なWi-Fi接続を求め、公共のアクセスポイントを頻繁に利用しています。

攻撃者は、正規のホットスポットを偽装し、接続した利用者の通信を盗み見ます。これにより、アカウント名やパスワード、さらには添付ファイルの内容が狙われます。

カフェ、空港、ショッピングモール、病院など、公共のWi‑Fiアクセスポイントは特に脆弱です。

8. SMSフィッシング - スミッシング

モバイル技術の進展により、通信やオンラインバンキングの利便性が向上しましたが、その反面、詐欺師にとって新たな攻撃対象も生まれました。これがスミッシングで、テキストメッセージを通じて利用者を誘い込みます。

• 偽サイトを訪問させる
• 危険なアプリをダウンロードさせる
• サポート窓口に連絡させる

クーポンコードや、無料チケット、無料のお金がもらえるといった誘い文句で、リンクをクリックさせ、偽のサイトへ誘導します。自動で危険なアプリがダウンロードされるリンクも多く、一見正規のURLに見えても、個人情報の窃盗やマルウェアの感染が狙いです。

また、問題解決のためにカスタマーサポートに連絡するよう促し、正規の担当者を装って個人情報を引き出す手口（ボイスフィッシング）もあります。

9. ボイスフィッシング (Vishing)

ボイスフィッシングは、メールやメッセージによる手口よりも大胆です。攻撃者は画面の背後に隠れるのではなく、電話で直接利用者から個人情報を引き出します。

口頭で説得されることで詐欺の疑いが薄まり、攻撃者は銀行、本社の幹部、税務署などを装い、不審な活動を理由に情報確認を求めます。

また、電話番号を偽装して正規のものに見せかけたり、地域の市外局番を使用するなどして、安心感を与え警戒心を緩めさせる工夫がなされています。

10. ファーミング

ファーミングは、従来のフィッシングより高度な手口です。一部の詐欺師は、これを用いて従来の攻撃を回避することがあります。

ファーミングでは、攻撃者がカスタムマルウェアを仕込み、DNSを悪用してDNSキャッシュを汚染します。これにより、正しいサイト名を入力しても、誤ったIPアドレスに誘導され、偽サイトへリダイレクトされます。

普及は少ないものの、DNSサーバーを狙われると、数多くのURLリクエストに影響が及ぶ恐れがあります。

11. ウォータリングホールフィッシング

この攻撃は、攻撃者がターゲット集団の閲覧活動を監視し、訪問するウェブサイトにマルウェアを仕込む手法です。

感染した偽サイトを開くと、コンピュータにマルウェアが自動的にダウンロードされ、社内の他のシステムに拡散します。攻撃者は、従業員がよく利用するサイトや、社内で使用されるメールパターンを把握して攻撃を仕掛けます.

実際のフィッシング攻撃の事例

これらの脅威はサイバー犯罪の一側面であり、衰える兆しはありません。むしろ、近年増加傾向にあります。Googleの最新調査では、2020年1月から3月にかけてフィッシングサイトが350%増加したと報告されています。Check Point Researchの調査では、過去1年で64%の企業がフィッシング攻撃の被害に遭い、Verizonの報告ではサイバースパイ行為の78%にフィッシングが関与していることが確認されています。

これらの数値は、実際のフィッシング攻撃の事例に基づいています。以下は、特に注目すべき5つのケースです。

ホエーリング攻撃でFACC社長が解任

2016年、オーストリアの航空宇宙企業FACCは、史上有数のホエーリング攻撃（フェイク・プレジデント事件）に遭い、攻撃者は5600万ドルを奪いました。

古典的な手口では、攻撃者はCEOを装い、財務部の従業員に対して即時の送金を指示するメールを送りました。

この攻撃は、企業に金銭的損失をもたらしただけでなく、当時のCEOであったWalter Stephanが解任される結果となりました。詳細は明かされませんでしたが、職務違反が理由とされています。

Ubiquiti Networks社を狙ったスピアフィッシング

2015年6月、米国のネット技術企業Ubiquiti Networksは、スピアフィッシングメールの標的となりました。

攻撃者は、偽のメールアドレスとドメインを使い、海外支社の幹部を装いました。従業員は、正式な依頼だと信じ、安全な口座へ送金するよう指示されました。Ubiquiti Networksは、FBIからの通告があるまで詐欺に気づいていませんでした。

システム自体は侵害されなかったものの、転送された資金で4670万ドルの損失を被りました。

FacebookとGoogleを狙った請求書詐欺

2013年から2015年にかけ、米国の巨大企業FacebookとGoogleは、精巧な送金詐欺により1億ドルもの損失を被ったと報告されています。

攻撃者は台湾のQuanta Computerを装い、偽の企業を設立。通常、同社は数百万ドル規模の取引をこれらの企業と行っており、2年間にわたり、偽の請求書付きフィッシングメールを送信し、偽の銀行口座への送金を狙いました。

詐欺は、虚偽の取引書類や偽の社印によって長期間疑いを逃れました。後に攻撃者はリトアニアのEvaldas Rimasauskasと特定され、2017年の逮捕後、5年の懲役刑が言い渡されました。

Appleのスミッシング

2020年、世界有数のスマートフォン企業Appleがスミッシング攻撃の標的となりました。偽のAppleチャットボックスを用い、受信者に新型iPhone 12の2020テストプログラム参加の機会があると伝え、配送料の支払いを求めました。結果、悪意あるサイトに誘導され支払いカード情報が盗まれました。

現代では、多くの個人情報をスマートフォンに保管するため、iPhoneやiPadがSMSフィッシングの頻繁な標的となっています。送られてくるメッセージには、ロックされたApple IDの解除や、有効期限延長のためのリンクが含まれることが多いです。

中には、将来のメッセージ受信停止のオプションが記載され、または紛失したiPhoneが見つかったといった内容で誘導される場合もあります。こうして、ログイン情報が奪われ、攻撃者はデバイス内のメディアや文書、その他の情報にアクセスします。

このような攻撃により失われる金額は、年間のサイバー犯罪による損失統計に大きく影響します。被害は一部に留まるものの、狙い通りの少数の成功例から、攻撃者は大きな報酬を得ています。

RSAセキュリティ侵害

人気サイバーセキュリティ企業のネットワークに侵入するため、攻撃者は『2011採用計画』という件名のメールを送り、ウイルス感染したExcelファイルを添付しました。無防備な従業員が開封したことで、機密パスワードへのアクセスが可能となり、これはウォータリングホールフィッシング攻撃の典型例となりました。

皮肉なことに、RSAは米国政府やその他企業にセキュリティサービスを提供しており、この侵害によりハッカーは米国政府のネットワークにもアクセスできるようになりました。これがAPTの一例です。

ビジネスへの影響

• 金銭的損失

フィッシング攻撃の一貫した影響として、金銭的損失が挙げられます。まず、攻撃者に騙された従業員による送金の直接的な損失、次に、HIPAA、PCI、PIPEDAなどの規制機関から科される罰金が重なります。

データ保護基準に重大な違反が認められると、これらの罰金はさらに膨れ上がる恐れがあります。

さらに、侵害の調査費用や被害者への補償金も加わり、企業の金銭的損失は一層増大します。

FBIの2018年のInternet Crimes Reportでは、BEC（Business Email Compromise）攻撃が米国企業に12億ドル以上の損失をもたらしていると報告されています。

• 知的財産の喪失

フィッシング攻撃の被害は金銭面にとどまらず、顧客情報、企業秘密、調査資料、設計図などの流出といった、取り返しのつかない損失を招くこともあります。

特に、技術、製薬、防衛分野では、特許などが盗まれると、数百万の研究投資が無駄になる可能性があります。

直接の金銭的損失からは回復しやすいものの、機密情報の損失は取り戻すのが非常に難しいです。

• 評判の低下

多くの企業はフィッシング攻撃の事実を隠そうとします。攻撃が明るみに出ると、顧客が信頼するブランドイメージが損なわれ、長年築いてきた信用が崩れてしまいます。顧客の信頼を再び取り戻すのは容易ではなく、ブランド価値は顧客基盤に直結しています。

また、攻撃の公表は投資家からの評価も低下させ、企業の全体的な信頼性に影響を与えます。特に、プロジェクトの各段階でサイバーセキュリティは重要であるため、一度の情報漏洩で投資家の信頼は大きく損なわれます。

これらの要素が重なると、数億円規模の時価総額にも影響を及ぼす可能性があります。

• 事業の混乱

フィッシング攻撃、特にマルウェアが絡む場合、従来通りの業務継続はほぼ不可能となります。システムの停止やオフライン対応が必要となり、生産性の大幅な低下に繋がります。

交通、技術、廃棄物処理などの重要インフラを提供する企業が業務停止に陥れば、経済全体に深刻な影響を与える恐れがあります。

‍

Wallarmによるフィッシング対策

WallarmのエンドツーエンドなAPIセキュリティソリューションは、アクセス管理とセキュリティ対策を組み合わせ、フィッシング攻撃から効果的に守ります。このソリューションは、URLパラメータやAJAXページにも二要素認証（2FA）を提供し、数クリックで簡単に導入可能です。ハードウェアやソフトウェアの追加インストールは不要で、Wallarmのダッシュボードから直接管理できます。さらに、Wallarmのクラウド型ウェブアプリファイアウォールは、悪質なリクエストを遮断し、マルウェア注入の試みからネットワークのエッジを守ります。