フィッシング攻撃

フィッシング攻撃の種類

最も基本的な定義として、フィッシング攻撃は多くの場合、多くのユーザー（または「ターゲット」）を狙う広範な攻撃を指します。これは、攻撃者による事前の準備を最小限に抑える「質より量」のアプローチだと考えられます。つまり、少なくとも数人のターゲットが犠牲になることを期待して攻撃が行われるのです（通常、攻撃者が得る利益はそれほど大きくないものの、最初に必要な努力が最小限という点が攻撃者にとって魅力です）。

フィッシング攻撃は一般的に、以下のような感情や欲望を利用して特定の反応（通常はクリック）を勧誘するメッセージでユーザーをエンゲージします。

「○○レストランのお食事券が当たるかも知れません」（欲望）

「ご注文を受け付けました」（混乱）

「すぐにログインしなければ、アカウントはキャンセルされます」（不安、緊急感）

攻撃者がたった1通のメールであなたの情報を入手する多くの方法があります。しかし、メールが正当であるかどうかを判断するのに役立つしるしがあるものです。

攻撃者は何年もかけてフィッシング攻撃を発展させており、その結果、攻撃者の初期努力がさらに必要となるものの、被害率または被害者当たりの「利益」価値が高い（または両方）バリエーションが生み出されています。

スピアフィッシング

組織や特定の個人を標的とするようにカスタマイズされたフィッシング攻撃は、スピアフィッシングと呼ばれます。このような攻撃では、攻撃者は実行前にさらなる情報収集を行い、会社のロゴ、メールやウェブサイトアドレス、取引先、そして時にはターゲットの職務および個人の経歴などの要素も取り込まれ、できるだけ正当に見えるようにします。このような攻撃者の追加的努力は騙されるターゲットの数の多さに応じて払われる傾向にあります。

ホエーリング

スピアフィッシングの変化形であるホエーリングは、組織の幹部またはCレベルエグゼクティブを狙います。ホエーリング攻撃は通常、標的となる幹部の役割を考慮し、的を絞ったメッセージを使って被害者を騙します。ホエーリング攻撃でターゲットがうまく騙された場合、攻撃者は非常に大きな利得を手にすることになります（例：会社口座のハイレベルな認証情報、企業秘密など）。

クローンフィッシング

スピアフィッシング攻撃のもう一つの変化形にクローンフィッシングがあります。この攻撃では、過去に受け取ったことがある正当なメッセージのコピー（または「クローン」）がターゲットに表示されますが、攻撃者がターゲットを陥れるために特定の変更が加えられています（例：悪意のある添付ファイル、無効なURLリンクなど）。この攻撃は過去に見たことのある正当なメッセージを基にしているため、ターゲットを騙すのに効果的です。

その他

攻撃者は、何も疑っていないコンピューターユーザーを標的とする新しい独創的な方法を常に模索しています。最近発生したフィッシング攻撃では、ターゲットが知っているユーザーからメールでGoogle Docが送られ、ターゲットのGoogleログイン認証情報を盗もうとする（そしてターゲットのアドレス帳にある全メールアドレスにスパムを送信する）という事例がありました。またファーミングのような受動的な種類の攻撃でも、他のフィッシング攻撃と同じ被害が起こることがあります。

フィッシングのテクニック

攻撃者はメール、ソーシャルメディア、インスタントメッセージ、テキストメッセージ、感染したウェブサイトなど、多くのメカニズムを使用してターゲットをフィッシングします。一部の例では昔ながらの電話という手段が使われたこともあります。実行メカニズムに関係なく、フィッシング攻撃は特定のテクニックを活用して実行されます。

リンクスプーフィング

攻撃者がよく使う手口の1つは、悪意のあるURLを本物のURLに似せて見えるようにし、ユーザーがわずかな違いに気付かず、悪意のあるURLをクリックするというものです。これらの操作されたリンクの中には、「クリックする前に確認する」（例：真正URLのthelegitbank.comに対し、偽URLはtheleg1tbank.comなど）ことを知っているユーザーならば容易に認識できるものもありますが、見た目が似ている文字を利用するホモグラフ攻撃などは視覚的検知の効力が制限されます。

ウェブサイトスプーフィング

攻撃者がスプーフィングできるのはリンクだけではありません。ウェブサイトもスプーフィングされたり、FlashやJavaScriptなどを使って真正のものに見えるよう細工されたりすることがあります。そうすることで、攻撃者はURLがどのように標的のユーザーに表示されるかをコントロールできるのです。つまり、実際にはユーザーが悪意のあるウェブサイトを訪問しているにもかかわらず、サイトには正当なURLが示されているということです。クロスサイトスクリプティング（XSS）は、この攻撃をさらに1ステップ進めたものです。XSS攻撃は正当なウェブサイト自体の脆弱性を悪用するため、攻撃者は（正当なURL、正当なセキュリティ証明書が表示されている）実際のウェブサイトを提示しながら、ユーザーが提供する認証情報を密かに盗むことができます。

悪意のある隠れたリダイレクト（Covert Redirect）

リダイレクトは、攻撃者がユーザーのブラウザを強制的に予期せぬウェブサイトとインタラクトさせる方法です。悪意のあるリダイレクトは通常、標的のユーザーが自らの意思で普段から訪問するウェブサイトを使用しますが、そこからすべての訪問者を攻撃者が管理するウェブサイトへと強制的にリダイレクトします。攻撃者は独自のリダイレクトコードを持つウェブサイトに侵入するか、標的のウェブサイトに存在するバグを発見することで、特別に作成されたURLなどを通じて強制リダイレクトを達成します。

名前が示すように、隠れたリダイレクトは標的のユーザーが攻撃者のサイトとインタラクトしているということを分かりにくくします。隠れたリダイレクトのよくあるシナリオでは、攻撃者が既存のウェブサイトに侵入し、ユーザーがコメントを残すためにクリックする可能性がある既存の「ソーシャルメディアアカウントでログイン」というボタンに新たなアクションを与えるというものです。この新たなアクションは、ユーザーが提供するソーシャルメディアのログイン認証情報を収集して、実際のソーシャルメディアウェブサイトに進む前に攻撃者のウェブサイトへ送りますが、標的のユーザーはこれに全く気が付きません。

フィッシング攻撃の予防方法

以下はフィッシング攻撃の実行を防ぎ、解除するための提案です。

継続的なユーザー教育と訓練

今回のホワイトボードウェンズデー（英語）では、上級プロダクトマーケティングマネージャーのジャスティンブキャナンが、職場におけるフィッシング脅威の検知方法を説明しています。

• 全てのユーザー（CEO以下）をフィッシング攻撃対策の最強戦力に転換する。フィッシング詐欺の検知と予防に関する定期的なセキュリティ意識の訓練や教育（および再教育）にユーザーを参加させ、さらに予告なしのフィッシング「訓練」を定期的に行うことで、学習した知識を強化し、実践してもらいます。そうすることで、ユーザーは最新のフィッシング攻撃について常に意識を持つことができ、実際に攻撃された際の対処法を身に付けることができます。

疑わしい添付ファイルのフィルタリング

• 悪意のある方法で利用されることが分かっている添付ファイルを受け取ったら、ユーザーに届く前に削除および検疫する。

悪意のあるURLのフィルタリング

• 悪意のあるURLを含むメッセージを検疫します。同様に、短縮URLのリンク（例：bit.ly、goo.glなど）についても安全に解明し、悪意のあるURLに移動しないことを確認します。
• フィルターをバイパスしようとして、テキストではなく1つの大きな画像（画像自体にテキストが含まれているが、それを検知しないフィルター技術もある）を送る攻撃者もいます。最近の「文字認識」型フィルター技術はこのようなメッセージを検知し、フィルタリングできます。

認証情報に関する良い習慣の推進

• 弱いパスワードを禁止します。少なくとも10文字で、文字、数字、記号を含むパスワードが奨励されています。
• ユーザーに重複しているパスワードを変更させます。
• ユーザーが1段階認証しか使っていない場合は、2段階認証（2SV）または2SVよりさらに優れた2要素認証（2FA）への移行を検討してください。

さらに、ユーザーとインフラシステムでマルウェアのスキャンを定期的に行い、ソフトウェアを最新のバージョン／パッチに保つことも良いプラクティスです。

出回っているフィッシング攻撃の種類や攻撃方法の幅広さは恐ろしいものに見えるかも知れませんが、フィッシング攻撃の性質、仕組み、ユーザーや組織の攻撃方法について適切な訓練を行うことで、できる限りの対策を講じ、脅威を認識して予防することができます。