Jamf ブログ
March 4, 2022 投稿者 Liarna La Porta

セキュリティの基本:フィッシング

National Cybersecurity Awareness Monthの一環として、Jamfでは、モバイルデバイスに影響を与える様々な脅威に対する意識を高める活動を進めています。

皆様がお使いのモバイルデバイスは、仕事用のノートパソコンやデスクトップコンピュータと同等のセキュリティを持っていない場合がほとんどかと思います。そのため、脅威から身を守るためには、エンドユーザである皆様自身が出来る限りの対策を取り、サイバー攻撃からモバイルデバイスを守ることが大切です。この記事では、フィッシングに焦点を当て、フィッシング被害に遭ったかどうかを見抜く方法、また、それがどのように発生するか、そして次に何をすべきかについて説明します。

フィッシング攻撃とはなにか?

フィッシングとは、ハッカーがログイン情報やクレジットカード番号などのユーザデータを盗むために用いるソーシャルエンジニアリング攻撃の一種で、攻撃者が一般に知られた組織になりすまし、被害者にメッセージを開かせたり、リンクをクリックさせたりすることで発生します。リンク先の不正なウェブサイトに誘導された被害者が騙されて入力したログイン情報や財務情報は、ハッカーに送られてしまいます。

フィッシングは、シンプルながら効果的な攻撃手法であり、犯人は個人情報、財務情報、企業情報を大量に入手することができます。攻撃対象や仕組みを細かく見れば様々な違いがありますが、一般的に被害者から個人情報を抜き取ったり、被害者のデバイスに損害を与える悪意のあるソフトウェアをインストールさせたりするものが主流です。

フィッシングは、日常に潜んでいるだけでなく、企業が直面するサイバーセキュリティ上の脅威の中でも、今日、最も被害が大きく顕著なものとなっています。

気をつけるべきサインは?

幸いなことに貴重な情報を盗まれる前に、フィッシングの標的にされていることに気づくことが可能です。 

  • 短縮URLを含んだ不審なメッセージ、メール、ソーシャルメディアの投稿
  • ログイン情報の入力を求めるWebページ
  • 不自然な言葉遣いの不審なメール
  • 怪しげなURL、または実存の組織を装ったURLのウェブページ

もし、あなたがフィッシングに遭い、情報を渡してしまった場合、あなたが罠にかかってしまったかどうかを見極めるために役立つ、いくつかのサインがあります。ただし、様々なフィッシング攻撃が存在し、例えばマルウェアを配布する手口と同様に他の攻撃と一緒にパッケージ化されていることが多いため、そのサインも多岐にわたります。以下にフィッシング攻撃が成功した場合の典型的なサインをいくつか挙げます。

  • IDの盗難
  • 身に覚えのない取引
  • アカウントがロックされる
  • 突然、パスワードリセットのリクエストが来る
  • 自分のアカウントからスパムメールが送られる

フィッシングの仕組み

フィッシングは通常、被害者へのテキストメッセージ、メール、アプリ内でのコミュニケーションといった形式で始まります。それらは、受信者の行動を引き出すような言葉を含み、メッセージ中のボタンやURLのクリックを促すように書かれています。「新しいiPhoneを手に入れるチャンス!」や、「無料の休日限定クーポン」、あるいは、もっと単純にソーシャルメディア、銀行口座、仕事用のメールなどのサービスへのアクセスを誘う内容かもしれません。

攻撃者は被害者から個人情報を聞き出すために、実存する組織そっくりの偽ウェブページに被害者を誘導して、セキュリティを保護することを謳った嘘の文言で安心させて情報を入力させることがよくあります。そうして、不正に入手された情報は、本物の公式サイトからサービスにアクセスするために直ちに使用されることもあれば、データとして収集され、ダークウェブで他の人に売られることもありあます。

フィッシングを受けたことがある方は、おそらく以下のいずれかの手法で攻撃されています。

  • テキストメッセージ(SMiShing)
  • 私用のメール
  • 会社のメール
  • 高度にパーソナライズされたメール(スピアフィッシング)
  • CEOを標的にしたメール(whaling)
  • ソーシャルメディアへの投稿やダイレクトメッセージ

フィッシングに遭った!と思ったらどうすれば良いか

フィッシングの被害にあったら、どうすればよいでしょうか。

  1. 漏えいしたアカウントのパスワード、それらと同じまたは類似したパスワードを持つアカウントのパスワードを全て変更する

  2. フィッシングサイトにクレジットカード情報を入力した場合、カードをキャンセルする

  3. コンピュータをオフラインにする、あるいはメールアカウントを削除して、フィッシングリンクが連絡先リストに広がるのを防ぐ

  4. フィッシング攻撃がなりすました企業や人物に連絡を取ってください。それはあなたの会社の社長かもしれないし、友人かもしれないし、大手の企業や銀行かもしれません。

  5. 悪意のあるリンクをクリックすると同時に、知らないうちにデバイスを破壊するマルウェアがサイレントでダウンロードされていることがあるため、デバイスのスキャンを実施してください。

  6. IDが盗難されている可能性があるため、クレジット口座にフィッシング攻撃を受けた旨を連絡する

フィッシングから自身を守るために事前にできることとは

事前の対策を練っておくことが肝心です。以下のアドバイスに従ってフィッシング被害を防止してください

  • 疑わしいリンクをクリックしない
  • 知らない、または信頼できないサービスにクレジットカード情報を入力しない
  • リンク先が銀行のウェブサイトになっている場合は、別ウィンドウで銀行名を手入力して銀行のサイトを開く
  • 当然のことながら、「懸賞に当選しました」というようなあからさまな詐欺のメッセージは無視する
  • URLがmy.apple.pay.comといった不審なURLまたは実存する組織を装ったURLでないか確認する

セキュリティを強化するために

​​オフィス以外に自宅、カフェなど様々な場所で働くことが可能となった現代、従業員の働き方に合わせたエンドポイントセキュリティ製品が必要です。このブログでご紹介した脅威の他にも、ユーザのモバイルデバイスに迫る悪意のあるウィルス、アップデートされず脆弱性を秘めたデバイスによる安全でないネットワークからのアクセス、業務用で貸与したデバイスのデータ使用量の制限の必要性など、新しい働き方を実現するためには障害が多くあります。Jamfでは、そういった障害を取り除くモバイルセキュリティ製品を多数ご用意しておりますので是非一度お問合せください。

Photo of Liarna La Porta
Liarna La Porta
Jamf
Liarna is a communications pro with seven years of experience in the cybersecurity industry. She works closely with Jamf’s threat researchers and data analysts to unearth the latest security trends.
ブログ購読

マーケットトレンド、Apple の最新情報、Jamf のニュースをメールでお届けします。

当社がお客様の情報をどのように収集、利用、移転、および保存するかに関しては、プライバシーポリシー をご参照ください。