TL;DR

  • フィッシングとは、攻撃者が信頼できる組織を装って個人を騙し、機密情報を漏らさせる悪質な行為です。

  • 疑わしい URL や個人情報の緊急要求などの一般的な兆候を認識して、フィッシングに対して警戒を怠らないでください。

  • 一般的な電子メール詐欺から高度なスピアフィッシングまで、さまざまなフィッシング手法を理解して、サイバーセキュリティ防御を強化します。

導入

フィッシングは、悪意のある人物が信頼できる情報源を装って人々を騙し、機密データを共有させる有害な手法です。この記事では、フィッシングとは何か、どのように機能するのか、そしてこのような詐欺の餌食にならないために何ができるのかを説明します。

フィッシングの仕組み

フィッシングは主にソーシャル エンジニアリングに依存しており、これは攻撃者が個人を操作して機密情報を漏らすように仕向ける手法です。攻撃者は、公開されている情報源 (ソーシャル メディアなど) から個人情報を収集し、本物に見えるメールを作成します。被害者は、よく知っている連絡先や評判の良い組織から送信されたように見える悪意のあるメッセージを受け取ることがよくあります。

最も一般的なフィッシングは、悪意のあるリンクや添付ファイルを含む電子メールを通じて行われます。これらのリンクをクリックすると、ユーザーのデバイスにマルウェアがインストールされたり、個人情報や金融情報を盗むために設計された偽の Web サイトに誘導されたりする可能性があります。

下手に書かれたフィッシングメールは見分けるのが簡単ですが、サイバー犯罪者はチャットボットや AI 音声ジェネレーターなどの高度なツールを使って攻撃の信憑性を高めています。そのため、ユーザーが本物の通信と詐欺的な通信を区別するのは困難です。

フィッシング詐欺の見分け方

フィッシングメールを識別するのは難しい場合がありますが、注意すべき兆候がいくつかあります。

一般的な兆候

メッセージに疑わしい URL が含まれていたり、公開されているメール アドレスが使用されていたり、恐怖や緊急性を誘発したり、個人情報を要求したり、スペルや文法の誤りがあったりする場合は注意してください。ほとんどの場合、リンクの上にマウスを移動して、実際にクリックしなくても URL を確認できます。

デジタル決済詐欺

フィッシング詐欺師は、PayPal、Venmo、Wise などの信頼できるオンライン決済サービスになりすますことがよくあります。ユーザーは、ログイン情報の確認を促す詐欺メールを受け取ります。常に警戒し、疑わしいアクティビティを報告することが重要です。

金融関連のフィッシング攻撃

詐欺師は銀行や金融機関を装い、セキュリティ侵害を主張して個人情報を入手します。よくある手口には、新入社員を狙った送金や口座振込詐欺に関する偽のメールなどがあります。また、緊急のセキュリティ更新があると主張することもあります。

仕事関連のフィッシング詐欺

これらのパーソナライズされた詐欺では、攻撃者が幹部、CEO、または CFO を装い、電信送金や偽の購入を要求します。電話で AI 音声ジェネレーターを使用した音声フィッシングも、詐欺師が使用する別の方法です。

フィッシング攻撃を防ぐ方法

フィッシング攻撃を防ぐには、複数のセキュリティ対策を講じることが重要です。リンクを直接クリックすることは避けてください。代わりに、会社の公式ウェブサイトまたは通信チャネルにアクセスして、受け取った情報が本物かどうかを確認してください。ウイルス対策ソフトウェア、ファイアウォール、スパムフィルターなどのセキュリティツールの使用を検討してください。

さらに、組織は受信メールを検証するためにメール認証標準を使用する必要があります。メール認証方法の一般的な例としては、DKIM (DomainKeys Identified Mail) や DMARC (Domain-based Message Authentication, Reporting, and Conformance) などがあります。

個人にとっては、フィッシングのリスクについて家族や友人に知らせることが重要です。企業にとっては、従業員にフィッシングの手法について教育し、リスクを軽減するための意識向上トレーニングを定期的に実施することが不可欠です。

さらにサポートや情報が必要な場合は、OnGuardOnline.gov などの政府の取り組みや、Anti-Phishing Working Group Inc. などの組織を参照してください。これらの組織では、フィッシング攻撃の検出、回避、報告に関する詳細なリソースとガイダンスが提供されています。

フィッシングの種類

フィッシングの手法は進化しており、サイバー犯罪者はさまざまな方法を使用しています。フィッシングの種類は通常、ターゲットと攻撃ベクトルに応じて分類されます。詳しく見てみましょう。

クローンフィッシング

攻撃者は、以前送信された正当な電子メールを使用し、その内容を悪意のあるサイトへのリンクを含む類似の電子メールにコピーします。また、攻撃者は、以前のリンクが間違っていたか期限切れだったと主張して、これが更新されたリンクまたは新しいリンクであると主張することもあります。

スピアフィッシング

このタイプの攻撃は、1 人の人物または組織に焦点が当てられています。スピア攻撃はプロファイリングされるため、他のフィッシング タイプよりも巧妙です。つまり、攻撃者はまず被害者に関する情報 (友人や家族の名前など) を収集し、そのデータを使用して被害者を悪意のある Web サイトのファイルに誘導します。

ファーミング

攻撃者は DNS レコードを改ざんし、実際には正当な Web サイトの訪問者を、攻撃者が事前に作成した不正な Web サイトにリダイレクトします。DNS レコードはユーザーの制御下にないため、ユーザーは防御する手段がなく、これが最も危険な攻撃です。

捕鯨

CEO や政府関係者など、裕福で重要な人物をターゲットにしたスピアフィッシングの一種。

メールのなりすまし

フィッシング メールは、通常、正当な企業や個人からの通信を偽装します。フィッシング メールは、知らない被害者に悪意のあるサイトへのリンクを提示し、攻撃者は巧妙に偽装されたログイン ページを使用してログイン認証情報や個人情報を収集します。これらのページには、個人情報を盗むトロイの木馬、キーロガー、その他の悪意のあるスクリプトが含まれている場合があります。

ウェブサイトのリダイレクト

ウェブサイトのリダイレクトは、ユーザーがアクセスしようとしていた URL とは異なる URL にユーザーを誘導します。脆弱性を悪用する攻撃者は、リダイレクトを挿入し、ユーザーのコンピューターにマルウェアをインストールする可能性があります。

タイプスクワッティング

タイポスクワッティングは、外国語のスペル、一般的なスペルミス、またはトップレベル ドメインの微妙なバリエーションを使用する偽の Web サイトにトラフィックを誘導します。フィッシング詐欺師はドメインを使用して正規の Web サイト インターフェイスを模倣し、URL を誤入力したり読み間違えたりするユーザーを利用します。

偽の有料広告

有料広告はフィッシングに使用されるもう 1 つの戦術です。これらの (偽の) 広告は、攻撃者がタイポスクワッティングして、検索結果で上位に表示されるように金銭を支払ったドメインを利用します。サイトが Google の検索結果の上位に表示されることもあります。

水飲み場攻撃

ウォーターホール型攻撃では、フィッシング詐欺師はユーザーを分析し、ユーザーが頻繁にアクセスする Web サイトを特定します。これらのサイトの脆弱性をスキャンし、ユーザーが次回その Web サイトにアクセスしたときに、そのユーザーを狙うように設計された悪意のあるスクリプトを挿入しようとします。

なりすましや偽の景品

ソーシャル メディアで影響力のある人物になりすます。フィッシング詐欺師は、企業の主要リーダーになりすまして景品を宣伝したり、その他の欺瞞行為を行ったりすることがあります。この詐欺の被害者は、騙されやすいユーザーを見つけることを目的としたソーシャル エンジニアリング プロセスを通じて、個別にターゲットにされることもあります。攻撃者は、認証済みのアカウントをハッキングし、ユーザー名を変更して、認証済みのステータスを維持しながら実在の人物になりすますことがあります。

最近、フィッシング詐欺師は、チャットの偽装、個人のなりすまし、正当なサービスの模倣など、同じ目的で Discord、X、Telegram などのプラットフォームを集中的に狙っています。

悪意のあるアプリケーション

フィッシング詐欺師は、ユーザーの行動を監視したり機密情報を盗んだりする悪質なアプリを使用することもあります。こうしたアプリは、価格トラッカー、ウォレット、その他の暗号通貨関連ツール(暗号通貨の取引や保有を好むユーザー層をターゲットにしている)を装うことがあります。

SMSと音声フィッシング

テキスト メッセージ ベースのフィッシング形式。通常は SMS または音声メッセージを通じて行われ、ユーザーに個人情報を共有するよう促します。

フィッシング vs.ファーミング

ファーミングはフィッシング攻撃の一種であると考える人もいますが、異なるメカニズムに依存しています。フィッシングとファーミングの主な違いは、フィッシングでは被害者がミスを犯す必要があることです。対照的に、ファーミングでは、被害者は攻撃者によって DNS レコードが侵害された正当な Web サイトにアクセスしようとするだけで済みます。

ブロックチェーンと暗号通貨の分野でのフィッシング

ブロックチェーン技術は分散型であるため強力なデータ セキュリティを提供しますが、ブロックチェーン分野のユーザーはソーシャル エンジニアリングやフィッシング攻撃に対して警戒を怠ってはなりません。サイバー犯罪者は、人間の脆弱性を悪用して秘密鍵やログイン認証情報にアクセスしようとすることがよくあります。ほとんどの場合、詐欺は人為的なミスに頼っています。

詐欺師は、ユーザーを騙してシードフレーズを明かさせたり、偽のアドレスに資金を送金させたりしようとすることもあります。注意を払い、セキュリティのベストプラクティスに従うことが重要です。

終わりに

結論として、フィッシングを理解し、進化する手法について常に情報を得ることは、個人情報や金融情報を保護する上で非常に重要です。強力なセキュリティ対策、教育、認識を組み合わせることで、個人や組織は、相互接続されたデジタル世界で常に存在するフィッシングの脅威に対して自らを強化することができます。SAFU を守りましょう!

参考文献

  • 暗号通貨の保有を安全に保つための 5 つのヒント

  • Binance アカウントのセキュリティを向上させる 5 つの方法

  • ピアツーピア(P2P)取引で安全を保つ方法

免責事項:このコンテンツは、一般的な情報および教育目的のみで「現状のまま」提供されており、いかなる表明または保証もありません。財務、法律、その他の専門的なアドバイスとして解釈されるべきではなく、特定の製品またはサービスの購入を推奨することを意図したものでもありません。適切な専門アドバイザーから独自のアドバイスを求める必要があります。記事が第三者寄稿者によって寄稿されている場合、表明された見解は第三者寄稿者のものであり、必ずしもBinance Academyの見解を反映するものではないことにご注意ください。詳細については、こちらで完全な免責事項をお読みください。デジタル資産の価格は変動する可能性があります。投資の価値は下落または上昇する可能性があり、投資額が戻ってこない可能性があります。投資決定はお客様自身の責任であり、Binance Academyはお客様が被る損失について責任を負いません。この資料は、財務、法律、その他の専門的なアドバイスとして解釈されるべきではありません。詳細については、利用規約とリスク警告をご覧ください。