フィッシング攻撃とは何ですか?またその仕組みは何ですか?

簡単に言うと

• スプーフィングは、攻撃者が信頼できるエンティティを装い、個人をだまして機密情報を漏らす悪意のある行為です。

• 不審な URL や個人情報の緊急要求などの一般的な兆候を認識して、フィッシングに対して警戒してください。

• 一般的な電子メール詐欺から高度なフィッシングまで、さまざまなフィッシング手法を理解して、サイバーセキュリティ防御を強化します。

導入

フィッシング攻撃は、悪意のある攻撃者が信頼できる当事者であるふりをして、人々をだまして機密データを共有させる悪意のある戦術です。この記事では、フィッシングとは何か、その仕組み、そしてそのような詐欺の被害に遭わないためにできることについて説明します。

フィッシング攻撃の仕組み

フィッシング攻撃は、攻撃者が個人を操作して機密情報を明らかにする手法であるソーシャル エンジニアリングに大きく依存しています。攻撃者は、公的情報源 (ソーシャル メディアなど) から個人情報を収集し、本物のように見える電子メールを作成します。被害者は、よく知っている連絡先や信頼できる組織から送信されたふりをした悪意のあるメッセージを受信することがよくあります。

フィッシング攻撃の最も一般的な形式は、悪意のあるリンクまたは添付ファイルを含む電子メールを通じて発生します。これらのリンクをクリックすると、ユーザーはデバイスにマルウェアをインストールされたり、個人情報や金融情報を盗むことを目的とした偽の Web サイトに誘導されたりする可能性があります。

不適切に書かれた偽メールを見分けるのは簡単ですが、サイバー犯罪者はチャットボットや AI 音声ジェネレーターなどの高度なツールを使用して、攻撃の信頼性を高めています。これにより、ユーザーは本物の通信と偽の通信を区別することが困難になります。

偽造の手口を見分ける

偽メールの特定は複雑な場合がありますが、チェックできる兆候がいくつかあります。

一般的な兆候

メッセージに不審な URL が含まれている場合、公開電子メール アドレスが使用されている場合、怖いまたは緊急であるように見える場合、個人情報を要求している場合、またはスペルや文法に誤りがある場合は注意してください。ほとんどの場合、リンク上にカーソルを置くと、実際にクリックしなくても URL を調べることができます。

デジタル決済機能に基づく偽造

詐欺師は、PayPal、Venmo、Wise などの信頼できるオンライン決済サービスになりすますことがよくあります。ユーザーは、ログイン情報の確認を促すフィッシングメールを受け取ります。常に警戒し、不審なアクティビティを報告することが重要です。

金融機関になりすます

詐欺師は銀行や金融機関を装い、セキュリティ侵害を主張して個人情報を取得します。一般的な手口には、新入社員を狙った送金に関するフィッシングメールや口座振替詐欺などがあります。また、緊急のセキュリティ更新プログラムがあると主張する場合もあります。

職務上の偽造

これらのパーソナライズされた詐欺には、経営陣、CEO、または CFO になりすました攻撃者が関与し、銀行振込や偽の購入を要求します。電話で AI 音声ジェネレーターを使用した音声なりすましも、詐欺師が使用する手口です。

フィッシング攻撃を防ぐ方法

フィッシング攻撃を防ぐには、複数のセキュリティ対策を講じることが重要です。リンクを直接クリックしないでください。代わりに、会社の公式 Web サイトまたはコミュニケーション チャネルにアクセスして、受け取った情報が正当なものかどうかを確認してください。ウイルス対策ソフトウェア、ファイアウォール、スパム フィルターなどのセキュリティ ツールの使用を検討してください。 

さらに、組織は電子メール認証標準を使用して受信電子メールを検証する必要があります。電子メール認証方法の一般的な例には、DKIM (DomainKeys Identified Mail) や DMARC (Domain-based Message Authentication, Reporting and Conformance) などがあります。

個人の場合、家族や友人にフィッシング攻撃のリスクについて知らせることが重要です。企業にとって、リスクを最小限に抑えるために、フィッシング攻撃手法について従業員を教育し、定期的な意識向上トレーニングを提供することが重要です。

さらに詳しい情報が必要な場合は、OnGuardOnline.gov などの政府の取り組みや、Anti-Phishing Working Group Inc. などの組織を探してください。これらの組織は、フィッシング攻撃を検出、回避、報告する方法に関するより詳細なリソースとガイダンスを提供しています。

スプーフィング攻撃の形態

フィッシング手法は進化しており、サイバー犯罪者はさまざまな手法を使用しています。さまざまな種類のフィッシング攻撃は、ターゲットと攻撃の方向によって分類されることがよくあります。詳しく見てみましょう。

偽造品

攻撃者は、以前に送信された正規の電子メールを使用し、その内容を悪意のある Web サイトへのリンクを含む同様の電子メールにコピーします。攻撃者は、これが新しいリンクまたは更新されたリンクであると主張し、以前のリンクが間違っていたか期限切れであることを示す可能性もあります。

「槍で魚を捕まえる」なりすまし攻撃

このタイプの攻撃は、1 人の個人または組織に焦点を当てます。スピア攻撃は、形状が整えられているため、他のタイプのローグ攻撃よりも洗練されています。これは、攻撃者がまず被害者に関する情報 (友人や家族の名前など) を収集し、このデータを使用して被害者を悪意のある Web サイト ファイルに誘導することを意味します。

ファーミング詐欺

攻撃者は DNS レコードを毒し、事実上、正規の Web サイトの訪問者を、攻撃者が以前に作成した詐欺的な Web サイトにリダイレクトします。 DNS レコードはユーザーの制御下にないため、ユーザーは防御することができないため、これは最も危険な攻撃です。

捕鯨

CEO や政府関係者などの富裕層や要人を標的とするフィッシング攻撃の一種。

メールのなりすまし

フィッシングメールは、正規の企業や個人からの通信を装うことがよくあります。フィッシングメールは、気付かないうちに悪意のある Web サイトへのリンクを被害者に提供する可能性があり、攻撃者は巧妙に偽装したログイン ページを使用してログイン情報と PII を収集します。これらのサイトには、個人情報を盗むトロイの木馬、キーロガー、その他の悪意のあるスクリプトが含まれている可能性があります。

Web サイトのリダイレクト

サイト リダイレクトにより、ユーザーは、ユーザーがアクセスする予定だった URL 以外の URL に誘導されます。攻撃者がこの脆弱性を悪用すると、リダイレクトが挿入され、ユーザーのコンピュータにマルウェアがインストールされる可能性があります。

スペルミスによる攻撃

スペル ミスにより、外国語のスペル、よくあるスペルミス、またはトップレベル ドメイン名の微妙な違いを使用する偽の Web サイトへのトラフィックが増加します。詐欺師はドメイン名を使用して正規の Web サイトの外観と操作性を模倣し、ユーザーが URL を入力したり読み間違えたりすることを利用します。

偽の有料広告

有料広告も詐欺に使用される手法です。これらの（偽の）広告は、検索結果に表示するために攻撃者が入力し、料金を支払ったドメイン名を使用しています。この Web サイトは Google の検索結果の上位に表示される場合もあります。

水飲み場を攻撃する

水飲み場攻撃では、詐欺師はユーザーを分析し、ユーザーが頻繁にアクセスする Web サイトを特定します。彼らはこれらの Web サイトをスキャンして脆弱性を探し、ユーザーが次回その Web サイトにアクセスしたときにターゲットにするように設計された悪意のあるスクリプトを挿入しようとします。

なりすましおよび偽の贈り物の提供

これはソーシャルネットワーク上で影響力のある人物になりすます行為です。詐欺師は、企業の主要リーダーになりすまして、景品を宣伝したり、その他の詐欺を行ったりすることがあります。この手口の被害者は、疑いを持たないユーザーを見つけることを目的としたソーシャル エンジニアリング プロセスを通じて個人的に標的にされることもあります。攻撃者は、認証済みのステータスを維持しながら、認証済みのアカウントをハッキングし、ユーザー名を変更して実際のキャラクターになりすますことができます。

最近、詐欺師は、チャットのなりすまし、個人になりすまし、正規のサービスの模倣という同じ目的で、Discord、X、Telegram などのプラットフォームを重点的にターゲットにしています。

悪意のあるアプリケーション

詐欺師は、あなたの行動を追跡したり、機密情報を盗んだりする悪意のあるアプリを使用することもあります。これらのアプリは、価格トラッカー、ウォレット、その他の暗号関連ツールとして機能します（暗号通貨を取引して所有する傾向のあるユーザーベース）。

SMSと音声なりすまし

テキスト メッセージ ベースのなりすましの一種。多くの場合、SMS または音声メッセージを介して実行され、ユーザーに個人情報の共有を促します。

フィッシング攻撃とファーミング攻撃を比較する

ファーミングをフィッシング攻撃の一種と考える人もいますが、それは異なるメカニズムに基づいています。フィッシングとファーミングの主な違いは、フィッシングでは被害者が間違いを犯す必要があることです。対照的に、ファーミングでは、被害者は、攻撃者によって DNS レコードが侵害された正規の Web サイトにアクセスを試みるだけで済みます。

ブロックチェーンおよび仮想通貨分野におけるフィッシング攻撃

ブロックチェーン技術はその分散型の性質により強力なデータセキュリティを提供しますが、ブロックチェーン空間のユーザーはソーシャルエンジニアリングやフィッシングの試みに注意する必要があります。サイバー犯罪者は多くの場合、人間の脆弱性を悪用して秘密キーや資格情報にアクセスしようとします。ほとんどの場合、詐欺は人的ミスに基づいています。

詐欺師は、ユーザーをだましてニーモニック フレーズを暴露させたり、偽のアドレスに送金させようとしたりすることもあります。慎重にセキュリティのベスト プラクティスに従うことが重要です。

まとめ

つまり、投資家にとって、フィッシング攻撃を理解し、フィッシング手法に関する情報を常に入手することは、個人情報や財務情報を保護する上で非常に重要です。強力なセキュリティ、学習、意識向上対策を組み合わせることで、すべてが相互接続されているデジタル世界において、個人や組織は常に存在するフィッシング攻撃の脅威に対する防御を強化できます。安全を保ってください！

続きを読む：

• 暗号資産を保護するための 5 つのヒント

• Binance アカウントのセキュリティを向上させる 5 つの方法

• ピアツーピア (P2P) 取引で安全を保つ方法

免責事項: このコンテンツは、一般情報および教育目的のみを目的として「現状のまま」提供されており、いかなる種類の表明や保証もありません。これは、財務上、法律上、またはその他の専門的なアドバイスとして解釈されるべきではなく、特定の製品やサービスの購入を推奨するものでもありません。適切な専門アドバイザーから独自のアドバイスを求める必要があります。記事が第三者寄稿者によって寄稿されている場合、表明された見解は第三者寄稿者に帰属し、必ずしもバイナンス アカデミーの見解を反映しているわけではないことに注意してください。詳細については、こちらの免責事項全文をお読みください。デジタル資産の価格は変動する可能性があります。投資価値は上昇することもあれば下落する可能性があり、投資額が返ってこない可能性があります。投資決定についてはお客様が単独で責任を負い、Binance Academy はお客様が被る可能性のある損失については責任を負いません。この資料は、財務上、法律上、またはその他の専門的なアドバイスとして解釈されるべきではありません。詳細については、利用規約とリスク警告をご覧ください。