よく耳にするけれど知らないシリーズ｜フィッシング攻撃

「フィッシング攻撃・フィッシング詐欺」というような言葉を耳にしたことはありますか。これらについて、具体的にどのような攻撃なのか、どのようなリスクがあるのかを理解している人は意外に少ないかもしれません。

本記事では、フィッシング攻撃の基本からその手法、リスク、さらに有名な事例や対策について詳しく解説します。また、フィッシング攻撃以外の最近のサイバー攻撃のトレンドについても解説しますので、ぜひ最後までご覧ください。

1.フィッシング攻撃とは　

フィッシング攻撃とは、攻撃者が巧妙な手口でユーザーを騙し、個人情報やクレジットカード情報、ログイン情報などを不正に取得しようとするサイバー攻撃の一種です。通常、信頼される組織やサービスを装ってユーザーに偽の電子メールやウェブサイトを送りつけ、受信者をだまし取ろうとします。このような攻撃は、技術的な知識がなくても簡単に実行できるため、世界中で広く行われています。

このような説明ですと、対象が「個人」のような印象を受けられるかもしれませんが、そんなことはありません。後ほど攻撃の対象者となり得るターゲットについても触れていきます。

2.フィッシング攻撃の手法とリスク

フィッシング攻撃にはいくつかの手法がありますが、その多くは「ユーザーの認識不足」を利用しています。一般的な手法としては、偽のメールを送り、リンクをクリックさせることで偽のログインページに誘導し、ユーザーの情報を入力させるものがあります。また、SMSや電話を利用する「スミッシング」や「ビッシング」と呼ばれる手法も存在します。これらの攻撃に成功すると、攻撃者はユーザーの銀行口座やオンラインサービスのアカウントにアクセスすることが可能となり、金銭的な被害を被るリスクが高まります。

会社の従業員がフィッシング攻撃を受ける視点でまとめると、企業の従業員が日常的に使用するメールやメッセージングアプリを通じて行われることが多いといわれています。攻撃者は、信頼できる送信者を装い、従業員に偽のリンクをクリックさせたり、機密情報を入力させたりする手法が挙げられます。これは、メールの送信元アドレスを巧妙に偽装し、従業員が不注意にリンクをクリックすると、悪意のあるウェブサイトへ誘導され、ログイン情報や個人データが盗まれるといった一連の流れが行われています。

企業がフィッシング攻撃を受けた場合、直面するリスクは多岐にわたります。まず、重要なデータの漏洩が挙げられます。従業員のログイン情報が盗まれると、攻撃者は企業の内部システムに不正アクセスを試みることができ、顧客データや財務情報が流出する危険性に直結します。その後、芋づる式にデータ漏洩が公になると、顧客や取引先からの信頼が失われ、ビジネスに甚大な影響を及ぼします。

さらに、フィッシング攻撃によって企業が被る直接的な経済的損失も無視できません。攻撃の結果、業務が一時的に停止することがあり、その間の機会損失や復旧作業に多大なコストがかかったり、法的な責任が発生する場合も考えられます。これらによって、データ保護規制に違反したと判断されれば、罰金が科される可能性もあり、フィッシング攻撃を受けた際の企業のリスクは甚大です。

3.フィッシング攻撃を受ける主な対象

フィッシング攻撃の主なターゲットは、個人ユーザーだけでなく、企業や政府機関も含まれます。特に、狙われやすい傾向にあるのが金融機関やオンラインショッピングサイトの利用者です。

また、企業の従業員をターゲットにした攻撃では、企業ネットワークに侵入するための入口として利用されることがあります。これにより、機密情報の漏洩や企業システムの停止といった深刻な影響を及ぼす可能性があります。

4.フィッシング攻撃への予防と対策

フィッシング攻撃から身を守るためには、いくつかの対策を講じることが重要です。まず、メールやメッセージ内のリンクをクリックする際には、そのURLが正しいものであるか確認する習慣をつけましょう。また、疑わしいメールやメッセージを受け取った場合には、直接サービス提供者の公式ウェブサイトから情報を確認することを心掛けましょう。さらに、二段階認証の設定や、強力なパスワードの使用も効果的な防御策となります。

以下に、フィッシング攻撃などにおけるサイバー攻撃を予防するための情報収集するのに役立つメディアやサイトの情報を掲載します。

1. 日本国内の情報セキュリティ専門機関

◆ IPA（情報処理推進機構）｜セキュリティセンター
【URL】https://www.ipa.go.jp/security/

経済産業省所管の公的機関で、サイバー攻撃の最新情報や対応策を提供
「情報セキュリティ10大脅威」や「フィッシング詐欺の手口」など、実務に役立つレポートが充実

◆ JPCERT/CC（日本コンピュータ緊急対応センター）
【URL】https://www.jpcert.or.jp/

国内のサイバー攻撃事例やインシデント情報をいち早く発信
実際に発生した攻撃の手口・対策情報が得られる

2. グローバルなセキュリティ情報

◆ US-CERT（アメリカ国土安全保障省サイバーセキュリティ部門）
【URL】https://www.cisa.gov/uscert

米国政府が提供するサイバーセキュリティ情報
ゼロデイ攻撃やランサムウェアの最新トレンドを知るのに最適

◆ Krebs on Security（クレブス・オン・セキュリティ）
【URL】https://krebsonsecurity.com/

セキュリティジャーナリスト、ブライアン・クレブス氏が運営するブログ
フィッシング攻撃や企業を狙ったハッキング事例を詳細に解説

◆ SANS Internet Storm Center（ISC）
【URL】https://isc.sans.edu/

世界中のセキュリティ専門家が投稿する、リアルタイムのサイバー攻撃情報
企業のシステム管理者向けの攻撃予兆のアラートが得られる

5.フィッシング攻撃の有名事例

フィッシング攻撃の中には、特に大きな被害をもたらした事例もあります。

◆2016年の米国大統領選挙に関連するフィッシング攻撃
2016年の米国大統領選挙では、政治関係者のメールアカウントが標的となり、大規模なフィッシング攻撃が発生しました。特に、民主党全国委員会（DNC）やヒラリー・クリントン候補の陣営に関わる人物が被害を受け、機密情報や戦略データが流出しました。この攻撃では、Googleアカウントのパスワードを入力させるフィッシングメールが使用され、ジョン・ポデスタ（ヒラリー・クリントン陣営の選挙対策本部長）を含む多数の関係者がログイン情報を盗まれました。その結果、数万件に及ぶメールが漏洩し、ウィキリークスを通じて公開されました。流出した情報には、選挙戦略や党内部のやり取りが含まれており、選挙戦の行方を左右する要因となりました。

◆2011年に日本で発生した大規模なオンラインバンキング詐欺事件
2011年、日本国内で大規模なオンラインバンキング詐欺事件が発生しました。この事件では、銀行を装ったフィッシングメールが多数のユーザーに送信され、偽のログインページに誘導されることで、銀行のIDやパスワードが盗まれました。攻撃者は、盗んだ情報をもとに被害者の銀行口座に不正アクセスし、預金を第三者の口座へ送金しました。被害総額は数億円規模と推定され、多くの個人や企業が影響を受けました。この事件をきっかけに、金融機関は、ワンタイムパスワードの導入や二要素認証の強化など、オンラインバンキングのセキュリティ対策を進めるようになりました。また、警察庁や各種セキュリティ機関もフィッシング詐欺への対策を強化し、注意喚起を頻繁に行うようになりました。

6.番外編｜フィッシング攻撃以外のサイバー攻撃のトレンド

フィッシング攻撃以外にも、さまざまなサイバー攻撃が存在し、その手法は日々進化しています。たとえば、ランサムウェア攻撃は、被害者のデータを暗号化し、復旧のための身代金を要求するものです。また、IoTデバイスを狙った攻撃も増加しており、これによりスマートホームデバイスや企業のインフラが狙われるケースが増えています。

これらの攻撃は、日常生活やビジネスに直接的な影響を与える可能性があるため、常に最新の情報を把握し、対策を講じることが重要です。

7.「フィッシング詐欺」と「フィッシング攻撃」

フィッシング詐欺とフィッシング攻撃は、個人情報を盗む目的で行われる不正行為であるが、その焦点は若干異なります。フィッシング詐欺は、主に偽のウェブサイトやメールを利用して、ユーザーから銀行口座番号やパスワードなどの機密情報をだまし取る手法のことを指します。一方、フィッシング攻撃は、フィッシング詐欺を含む、より広範な攻撃手法の総称であり、ターゲットの情報を盗むために様々な技術を組み合わせることがあります。

共通点としては、どちらもユーザーの信頼を悪用し、正規の組織やサービスを装って情報を引き出す点が挙げられる点です。また、メールやメッセージを利用してユーザーを偽サイトに誘導する手法も共通しています。しかし、フィッシング攻撃では、さらにマルウェアの配布などの手段を用いることがあり、フィッシング詐欺よりも複雑な攻撃となることが多いです。

8.まとめ

フィッシング攻撃は、その手軽さから広く行われているサイバー攻撃の一種であり、個人や企業に多大なリスクをもたらします。しかし、適切な予防策を講じることで被害を未然に防ぐことが可能です。また、フィッシング攻撃以外にも多様なサイバー攻撃が存在し、これらの脅威に対しても意識を高め、適切な対策を行うことが求められます。

企業は従業員に対してフィッシング攻撃の危険性を周知し、疑わしいメールに対する警戒心を高めることが重要です。そのためには、定期的なセキュリティトレーニングや、疑わしいメールの報告を奨励する文化を醸成することで、フィッシング攻撃の成功率を低下させることができるでしょう。また、技術的な防御策としてメールフィルタリングや多要素認証の導入を検討することも有効ですので、会社の事業フェーズなどに合わせて適切なセキュリティ環境の構築ができているか、常に警戒心を持ち、最新の情報に基づいた行動を心掛け、企業文化を育てていきましょう。