まとめ

  • フィッシングは、攻撃者が信頼できるエンティティになりすまして、人々をだまして機密情報を漏らす悪意のある行為です。

  • 不審な URL や個人情報の緊急リクエストなど、フィッシングの一般的な兆候を認識して警戒を怠らないようにしましょう。

  • 一般的な電子メール詐欺から高度なスピア フィッシングまで、さまざまなフィッシング手法を学び、サイバーセキュリティ防御を強化します。

導入

フィッシングは、悪意のある攻撃者が信頼できる情報源であるふりをして、人々をだまして機密データを共有させる有害な戦術です。この記事では、フィッシングとは何か、その仕組み、そしてこの種の詐欺の被害に遭わないためにできることについて説明します。

フィッシングの仕組み

フィッシングは主にソーシャル エンジニアリングに依存しています。ソーシャル エンジニアリングは、攻撃者が人々を操作して機密情報を漏洩させる手法です。攻撃者は、公開ソース (ソーシャル メディアなど) から個人データを収集し、一見本物に見える電子メールを作成します。被害者は、家族の連絡先や信頼できる組織から送信されたように見える悪意のあるメッセージを受け取ることがよくあります。

フィッシングの最も一般的な形式は、悪意のあるリンクまたは添付ファイルを含む電子メールによるものです。これらのリンクをクリックすると、ユーザーのデバイスにマルウェアがインストールされたり、個人情報や金融情報を盗むことを目的とした偽の Web サイトに誘導される可能性があります。

不適切に書かれたフィッシングメールを検出するのは簡単ですが、サイバー犯罪者は攻撃の信頼性を高めるためにチャットボットや AI 音声ジェネレーターなどの高度なツールを採用しています。このため、ユーザーは本物の通信と不正な通信を区別することが困難になります。

フィッシングの試みを認識する方法

フィッシングメールを特定するのは難しい場合がありますが、注意できる兆候がいくつかあります。

一般的な兆候

メッセージに不審な URL が含まれている場合、公開電子メール アドレスを使用している場合、恐怖や緊急性を誘発する場合、個人情報を要求する場合、またはスペルや文法上の誤りがある場合は注意してください。ほとんどの場合、リンクをクリックしなくても、リンクの上にマウスを置くと URL を確認できるはずです。

デジタル決済に基づく詐欺

フィッシング詐欺師は、PayPal、Venmo、Wise などの信頼できるオンライン決済サービスになりすますことがよくあります。ユーザーは、想定されるログインの詳細を確認するよう促す詐欺メールを受け取ります。警戒を怠らず、不審な行為があれば報告することが重要です。

金融分野におけるフィッシング攻撃

詐欺師は銀行や金融機関を装い、セキュリティ上の欠陥を主張して個人情報を取得します。一般的な手口には、新入社員に対する送金や振り込み詐欺に関する誤解を招くメールが含まれます。また、緊急のセキュリティ更新があると主張する場合もあります。

仕事関連のフィッシング詐欺

これらのパーソナライズされた詐欺には、攻撃者が経営陣、CEO、または CFO を装い、偽の電信送金や購入を要求することが含まれます。電話を介した AI 音声ジェネレーターを使用した音声フィッシングも、詐欺師が使用する手法です。

フィッシング攻撃を防ぐ方法

フィッシング攻撃を回避するには、複数のセキュリティ対策を採用することが重要です。リンクを直接クリックしないでください。代わりに、会社の Web サイトまたは公式コミュニケーション チャネルにアクセスして、受け取った情報が正当なものかどうかを確認してください。ウイルス対策ソフトウェア、ファイアウォール、スパム フィルターなどのセキュリティ ツールの使用を検討してください。

さらに、組織は電子メール認証標準を使用して受信電子メールを検証する必要があります。電子メール認証方法の一般的な例には、DKIM (DomainKeys Identified Mail) や DMARC (Domain-based Message Authentication, Reporting and Conformance) などがあります。

個人の場合、家族や友人にフィッシングのリスクについて知らせることは不可欠です。企業にとって、リスクを軽減するために、フィッシング手法について従業員を教育し、定期的な意識向上トレーニングを提供することが重要です。

さらにヘルプや情報が必要な場合は、OnGuardOnline.gov などの政府の取り組みや、Anti-Phishing Working Group Inc. などの組織を探してください。これらは、フィッシング攻撃の検出、防止、報告のためのより詳細なリソースとガイダンスを提供します。

フィッシングのヒント

フィッシング手法は進化しており、サイバー犯罪者はさまざまな手法を使用しています。さまざまな種類のフィッシングは、通常、目的と攻撃ベクトルに基づいて分類されます。さらに詳しく分析してみましょう。

クローンフィッシング

攻撃者は、以前に送信された正規の電子メールを使用し、その内容を悪意のあるサイトへのリンクを含む同様の電子メールにコピーします。攻撃者は、これが更新されたリンクまたは新しいリンクであると主張し、以前のリンクが間違っていたか期限切れであることを示す可能性もあります。

スピアフィッシング

このタイプの攻撃は、個人または組織に焦点を当てます。スピア攻撃はカスタマイズされているため、他のタイプのフィッシングよりも高度です。これは、攻撃者が最初に被害者に関する情報 (友人や家族の名前など) を収集し、このデータを使用して被害者を悪意のある Web サイト ファイルに誘導することを意味します。

ファーミング

攻撃者は DNS レコードを汚染し、訪問者を正規の Web サイトから攻撃者が事前に作成した不正な Web サイトに効果的にリダイレクトします。 DNS レコードがユーザーの制御下にないため、ユーザーは自分自身を守ることができないため、これは最も危険な攻撃です。

捕鯨

CEO や政府関係者などの富裕層や要人を標的とするスピア フィッシングの一種。

メールのなりすまし

フィッシングメールは、正規の企業や個人からの通信を装うことがよくあります。これらには、疑いを持たない被害者のために作成された悪意のあるサイトへのリンクが含まれる場合があります。これらのサイトでは、攻撃者は巧妙に偽装したログイン ページを使用して、ログイン資格情報と PII を収集します。このページには、個人情報を盗むトロイの木馬、キーロガー、その他の悪意のあるスクリプトが含まれている可能性があります。

ウェブサイトのリダイレクト

Web サイトのリダイレクトにより、ユーザーはアクセスする予定とは異なる URL に誘導されます。この脆弱性を悪用する攻撃者は、リダイレクトを挿入し、ユーザーのコンピュータにマルウェアをインストールする可能性があります。

タイプスクワッティング

タイポスクワッティングは、外国語のスペル、一般的なスペルミス、またはトップレベル ドメインの微妙な違いを使用するなりすましの Web サイトにトラフィックを誘導します。フィッシング詐欺師は、ドメインを使用して正規の Web サイトのインターフェイスを模倣し、ユーザーが URL を誤って入力または読み取りするのを利用します。

偽の有料広告

有料広告もフィッシングに使用される戦術です。これらの(偽の)広告は、攻撃者がタイポスクワッティングを適用したドメインを使用しており、検索結果の上位に表示されることで報酬を得ています。このサイトは、Google の検索結果の上位に表示される場合もあります。

水飲み場攻撃

水飲み場攻撃では、フィッシング詐欺師はユーザーを調査し、どの Web サイトに頻繁にアクセスするかを特定します。彼らはこれらのサイトをスキャンして脆弱性を探し、ユーザーが次回その Web サイトにアクセスしたときにターゲットにするように設計された悪意のあるスクリプトを挿入しようとします。

個人情報の盗難と偽の景品

彼らはソーシャルネットワーク上で影響力のある人物になりすまします。フィッシング詐欺師は、主要企業のリーダーになりすまして、景品を宣伝したり、その他の欺瞞的な行為を行う可能性があります。このデマの被害者は、だまされやすいユーザーを見つけることを目的としたソーシャル エンジニアリング プロセスを通じて個別にターゲットにされることもあります。攻撃者は、認証済みのアカウントをハッキングし、ユーザー名を変更して、認証済みのステータスを維持しながら、本物の人物になりすますことができます。

最近、フィッシング詐欺師は、チャットのなりすまし、個人になりすます、正規のサービスの模倣など、同じ目的で Discord、X、Telegram などのプラットフォームを重点的にターゲットにしています。

悪意のあるアプリケーション

フィッシング詐欺師は、あなたの行動を監視したり、機密情報を盗んだりする悪意のあるアプリを使用することもあります。アプリは、価格トラッカー、ウォレット、その他の暗号通貨関連ツール (暗号通貨の取引や所有に傾向のあるユーザー ベースを持っています) のふりをすることができます。

SMS および音声フィッシング

テキスト メッセージ ベースのフィッシングの一種。通常は SMS または音声メッセージを介して、ユーザーに個人情報の共有を促します。

フィッシング vs.ファーミング

ファーミングをフィッシング攻撃の一種と考える人もいますが、ファーミングは別のメカニズムに依存しています。フィッシングとファーミングの主な違いは、フィッシングでは被害者が間違いを犯す必要があることです。対照的に、ファーミングでは、DNS レコードが攻撃者によって侵害された正規の Web サイトに被害者がアクセスを試みるだけで済みます。

暗号通貨およびブロックチェーン分野でのフィッシング

ブロックチェーン技術はその分散型の性質により強力なデータセキュリティを提供しますが、ブロックチェーン空間のユーザーはソーシャルエンジニアリングやフィッシングの試みに対して引き続き警戒する必要があります。サイバー犯罪者は多くの場合、人間の脆弱性を悪用して秘密キーやログイン認証情報にアクセスしようとします。ほとんどの場合、詐欺は人的ミスに基づいています。

詐欺師は、ユーザーをだましてシード フレーズを暴露させたり、偽のアドレスに資金を送金させようとしたりすることもあります。注意し、推奨される安全慣行に従うことが重要です。

結論

結論として、個人情報と財務情報を保護するには、フィッシングを理解し、進化する詐欺手法について常に最新の情報を入手することが重要です。強力なセキュリティ対策、教育、意識を組み合わせることで、個人と組織は、相互接続されたデジタル世界で常に存在するフィッシングの脅威に対して自らを強化することができます。ステイサフ!

参考文献

  • 暗号通貨の保有を保護するための 5 つのヒント

  • Binance アカウントのセキュリティを向上させる 5 つの方法

  • ピアツーピア (P2P) トランザクションを安全に実行する方法

法的通知およびリスク警告: このコンテンツは、一般情報および教育目的のみを目的として「現状のまま」提供されており、いかなる種類の表明や保証もありません。これは、財務上、法律上、またはその他の専門的なアドバイスとして解釈されるべきではなく、特定の製品やサービスの購入を推奨するものでもありません。適切な専門アドバイザーから個別にアドバイスを求める必要があります。この記事は第三者によって寄稿されているため、表明された意見は第三者寄稿者の意見であり、必ずしもバイナンス アカデミーの意見を反映しているわけではないことに注意してください。詳細については、こちらの法的通知全文をお読みください。デジタル資産の価格は変動する可能性があります。投資の価値は上がるこ​​ともあれば下がることもあり、投資額が戻ってこない場合もあります。投資に関する決定に対して責任を負うのはあなただけです。 Binance Academy は、お客様が被る可能性のある損失に対して責任を負いません。この資料は、財務上、法律上、またはその他の専門的なアドバイスとして解釈されるべきではありません。詳細については、利用規約とリスク警告をご覧ください。