セキュリティの基本をおさらい：フィッシング

多くの場合、モバイルデバイスには、業務用のノートパソコンやデスクトップPCと同等のセキュリティが施されていません。そのため、エンドユーザ自身で可能な限りの対策を講じ、サイバー脅威からモバイルデバイスを守ることが重要です。フィッシングに焦点を当てたこのブログでは、フィッシングに遭った際にそれを見抜く方法、被害を受けた際に何が起こるか、そしてその場合の対処方法について解説します。

フィッシングの仕組み

フィッシングとは、ハッカーがログイン情報やクレジットカード番号などの個人データを盗むために用いるソーシャルエンジニアリング攻撃の一種です。攻撃者は、被害者にメッセージを開かせたりリンクをクリックさせたりするために、信頼できる組織になりすまします。リンク先から不正なウェブサイトに誘導された被害者が騙されて入力したログイン情報や財務情報は、そのままハッカーに送られます。

フィッシングは、シンプルながら効果的な攻撃手法であり、犯人は個人情報、財務情報、企業情報などを大量に入手することができます。攻撃の意図や仕組みを細かく見れば様々な違いがありますが、一般的に被害者から個人情報を抜き取ったり、デバイスに損害を与える悪意のあるソフトウェアを被害者にインストールさせたりするものが主流です。

フィッシングはもっともよくある手法であるだけでなく、今日のビジネスが直面するサイバーセキュリティ脅威の中でも、もっとも被害が大きく注目に値するものとなっています。IBMが2023年に発表した「データ侵害のコストに関する調査」によると、フィッシングは全データ侵害の15％とトップを占めており、組織に平均476万ドルの損害を与えています。

フィッシングは通常、無防備な被害者へのSMSやメール、アプリ内コミュニケーションとともに開始されます。このメッセージには、ユーザの興味をそそり、アクションを促すCTA（行動喚起）が含まれています。例えば、新しいiPhoneが無料で手に入るチャンスや旅行が無料になるクーポン、あるいはもっと単純に、ソーシャルメディアや銀行口座、仕事用のメールなどへのアクセスを促すものなどです。

被害者から個人情報を引き出すために、攻撃者が本物に見えるウェブページに被害者を誘導し、安全であると錯覚させて詳細情報を入力させることもよくあります。このようにして抜き取った個人情報は、公式サイトからサービスにアクセスするために直ちに使用されることもあれば、データとしてダークウェブで売られることもあります。

フィッシング攻撃の種類

ほとんどのフィッシング攻撃には以下のいずれかの手法が使用されています。

• SMS：「スミッシング（Smishing）」とも呼ばれ、ユーザ認証情報を盗む目的でフィッシングサイトへのリンクを含むSMSメッセージがユーザに送信されます。
• WhatsApp ：「ウィッシング（Whishing）」とも呼ばれ、WhatsApp経由で悪意のあるメッセージが送信されます。
• メール：個人または企業のメールアドレスにメールが送信されます。ユーザに広く知られる組織やウェブサイトからのメールを装う場合もあり、この場合、ユーザがすでに使用しているソフトウェアへのログインを要求し、本物のように見えるが実際は悪意のあるサイトにユーザを誘導します。
• ボイスフィッシング：ボイスフィッシング（「ビッシング」）とも呼ばれ、正規の組織に見せかけたなりすましの番号が使われることもあります。音声合成プログラムまたは本物の音声が使用され、被害者から財政情報を得るために使用されるケースが多く見られます。
• スピアフィッシング：特定のターゲットに対し、メール、テキスト、またはその他の手段でメッセージが送り付けられ、ユーザが知っている人物になりすまし、助けを求めたり個人情報を要求したりするケースもあります。
• ホエーリング：CEOやその他のエグゼクティブのような要人をターゲットにした攻撃で、時には他の要人になりすまして被害者を騙し、最終的になりすましサイトに誘導して認証情報を盗みます。
• SNSの投稿やDM：SNSを通じて被害者に接触する手法で、他の方法と同様、ユーザをなりすましサイトに誘導して情報を抜き取ろうとします。

フィッシング攻撃の見分け方

貴重な情報を攻撃者に手渡してしまう事態に陥らないように、フィッシングの標的になっていることを示す以下のようなサインを見つけることが大切です。

• 短縮されたリンクを含む、迷惑または不審なメッセージやメール、SNSの投稿
• ログイン情報やその他の機密情報を要求するWebページ
• 少し変わった文体が特徴の不審なメール
• 怪しげなURLまたは本物によく似たURLを持つWebページ
• スペルミス、特殊文字の使用、または文法の間違い（最近では攻撃者がAIの助けを借りてこの点を克服するケースも見られ、まったく不審に見えないメールやサイトが使われる場合もあるので注意が必要です）

以下のフィッシングの例では、メッセージに短縮されたリンクが含まれ、アクションが促されています。これを受け取った人は、身に覚えのない購入に抗議するために、リンクをクリックする必要性に駆られます。リンクが短いことで本物かどうかを見極めるのが難しく、文面に明白な誤りがないことが、不信を抱かせない原因となっています。この場合の最善策は、リンクを踏まずに、銀行や決済カードのアカウントに手動でログインし、購入が本当に行われたかどうかをチェックすることです。

万が一フィッシングに遭い、情報を渡してしまった場合、罠にかかってしまったかどうかを見極めるのに役立ついくつかのサインがあります。フィッシングにはさまざまなタイプが存在し、例えばマルウェアの配布など、他の目的とセットになって実行されることも多いため、被害を示唆する症状も多岐にわたります。フィッシング攻撃に遭ってしまったことを示すサインには以下のようなものが含まれます。

• ID盗難
• 身に覚えのない取引
• アカウントへのアクセス不可
• リクエストしていないパスワードリセット
• 自分のアカウントから届くスパムメール

フィッシングに遭ったと思ったら

フィッシングに遭ってしまった場合は、どうすればよいのでしょうか？

1. 攻撃を受けたアカウントのパスワード、そしてそれと同じまたは類似したパスワードを持つ他のアカウントのパスワードをすべて変更します。
2. フィッシングサイトでクレジットカード情報を入力した場合は、カードをキャンセルします。
3. フィッシングのリンクが連絡先に広がるのを防ぐために、コンピュータのネットワーク接続を切断、あるいはメールアカウントを削除します。
4. 勤務先のCEO、友人、または大企業や銀行など、攻撃者がなりすました人物や組織に連絡します。
5. デバイスでウイルススキャンを実施します。悪意のあるリンクをクリックしたことで、知らないうちにデバイスを破壊するマルウェアがダウンロードされた可能性があります。
6. ID盗難のサインに目を光らせ、不正使用を知らせるアラートを銀行やクレジットカード会社に要請します。

自分の身を守るための積極的な対策

モバイルデバイスはフィッシング攻撃に特に脆弱です。画面が小さく、外出先で使用することも多いため、リンクの正当性を見極めることが難しく、忙しくて確認を怠ってしまうこともあります。また、脅威防御ツールをコンピュータにダウンロードするユーザは多いものの、モバイルデバイスで同じことをするユーザは多くありません。だからこそ、常に目を光らせておく必要があります。

フィッシングに対するもっとも効果的な対処法は、そもそもの発生を防ぐことです。そのために、ぜひ以下のアドバイスを参考にしてください。

• 疑わしいリンクをクリックしない
• クレジットカード情報を知らないサービスや信頼できないサービスで入力しない
• 取引のある銀行のサイトに誘導するリンクがある場合は、別のウィンドウを開いて手動で銀行のURLを入力する
• 見え透いた詐欺（例：「懸賞に当選しました！」）に引っかからないようにする
• 不審または本物にそっくりのURL（例：my.apple.pay.com）が使われていないかアドレスバーをチェックする

組織は、組織支給デバイスややBYODデバイスでのフィッシング被害を防ぐために、次のような対策を取ることができます。

• フィッシング攻撃とその回避方法に関して従業員を教育する
• 攻撃メールが届くのを防ぐために、従業員のメールアカウントにスパムフィルタを適用する
• 盗まれた認証情報が使用されるのを防ぐためにMFA（多要素認証）を適用する
• リンクがクリックされた場合でもフィッシングサイトへのアクセスがブロックされるように、脅威防御ソフトウェア を導入する
• サイトドメインに基づいてパスワードが自動入力されるパスワード管理ツールを使用する（不正サイトである場合はパスワードが使えない）
• デバイスとソフトウェアを常に最新状態に保つ