TL;DR

  • フィッシングは、詐欺師が信頼できる組織を装い、個人をだまして機密情報を漏らす悪質な行為です。

  • 不審な URL や個人情報の緊急要求などの一般的な兆候を認識して、フィッシングに対して常に警戒してください。

  • 一般的な電子メール詐欺から高度なスピア フィッシングまで、さまざまなフィッシング手法を理解して、サイバーセキュリティ防御を強化します。

導入

フィッシングは、悪意のある者が信頼できる情報源であるふりをして、人々をだまして機密データを共有させる有害な戦術です。この記事では、フィッシングとは何か、その仕組み、そしてこの詐欺の被害に遭わないために何ができるかを明確にします。

フィッシングの仕組み

フィッシングは主にソーシャル エンジニアリングに依存しています。ソーシャル エンジニアリングは、詐欺師が人々を操作して機密情報を漏洩させる手法です。これらの詐欺師は、公的情報源 (ソーシャル メディアなど) から個人データを収集し、本物のように見える電子メールを作成します。被害者は、家族の連絡先や信頼できる組織から送信されたように見える悪意のあるメッセージを受け取ることがよくあります。

フィッシングの最も一般的な形式は、悪意のあるリンクまたは添付ファイルを含む電子メールを通じて発生します。これらのリンクをクリックすると、ユーザーのデバイスにマルウェアがインストールされたり、個人情報や金融情報を盗むことを目的とした偽の Web サイトに誘導される可能性があります。

不適切に書かれたフィッシングメールを特定するのは簡単ですが、サイバー犯罪者は攻撃の信頼性を高めるためにチャットボットや AI 音声ジェネレーターなどの高度なツールを使用しています。これにより、ユーザーにとっては、本物の通信と不正な通信を区別することが困難になります。

フィッシング行為の認識

フィッシングメールを特定するのは難しい場合がありますが、注意できる兆候がいくつかあります。

一般的な兆候

メッセージに不審な URL が含まれている場合、公開電子メール アドレスが使用されている場合、恐怖や緊急性を誘発する場合、個人情報を要求する場合、またはスペルや文法上の誤りが含まれる場合には注意してください。ほとんどの場合、リンクをクリックしなくても、リンクの上にカーソルを置くと URL を確認できます。

デジタル決済に基づく詐欺

フィッシング詐欺師は、PayPal、Venmo、Wise などの信頼できるオンライン決済サービスになりすますことがよくあります。ユーザーは、ログイン情報の確認を求める詐欺メールを受け取ります。警戒を怠らず、不審なアクティビティを報告することが重要です。

金融関連のフィッシング攻撃

詐欺師は、セキュリティ侵害を主張する銀行や金融機関を装い、個人情報を取得します。一般的な手口には、新入社員をターゲットにした送金や口座振替詐欺に関する誤解を招くメールが含まれます。また、緊急のセキュリティ更新があると主張する場合もあります。

仕事関連のフィッシング詐欺

これらの個人化詐欺には、経営陣、CEO、または CFO を装った詐欺師が関与し、偽の電信送金や購入を要求します。電話を介して行われる AI 音声ジェネレーターを使用した音声フィッシングも、詐欺師が使用する手法です。

フィッシング攻撃を防ぐ方法

フィッシング攻撃を防ぐには、いくつかのセキュリティ対策を採用することが重要です。リンクを直接クリックすることは避けてください。代わりに、会社の公式 Web サイトまたはコミュニケーション チャネルにアクセスして、受け取った情報が正当なものであることを確認してください。ウイルス対策ソフトウェア、ファイアウォール、スパム フィルターなどのセキュリティ ツールの使用を検討してください。 

さらに、組織は電子メール認証標準を使用して受信電子メールを検証する必要があります。認証方法の一般的な例には、DKIM (DomainKeys Identified Mail) や DMARC (Domain-based Message Authentication, Reporting, and Conformance) などがあります。

個人の場合、家族や友人にフィッシングのリスクについて知らせることが重要です。企業にとって、リスクを軽減するために、フィッシング手法について従業員を教育し、定期的な意識向上トレーニングを提供することが重要です。

追加の支援や詳細情報が必要な場合は、OnGuardOnline.gov などの政府の取り組みや、Anti-Phishing Working Group Inc. などの組織を参照してください。これらの団体は、フィッシング攻撃の検出、防止、報告に関するより詳細なリソースとガイダンスを提供しています。

フィッシングの種類

フィッシング手法は進化しており、サイバー犯罪者はさまざまな手法を使用しています。一般に、フィッシングはターゲットと攻撃ベクトルに応じてさまざまな種類に分類されます。さらに詳しく見てみましょう。

クローンフィッシング

詐欺師は、以前に送信した正規のメールを使用して内容をコピーし、偽の Web サイトへのリンクを含む同様のメールを新たに作成します。この詐欺師は、これが更新されたリンクまたは新しいリンクであると主張し、以前のリンクが間違っているか期限切れであると主張することもあります。

スピアフィッシング

このタイプの攻撃は、個人または組織に焦点を当てています。スピア攻撃はプロファイリングされるため、他のタイプのフィッシングよりも高度です。これは、詐欺師が被害者に関する情報 (友人や家族の名前など) を収集し、このデータを使用して被害者を偽の Web サイト ファイルに誘導することを意味します。

ファーミング

詐欺師は DNS レコードを改ざんし、実際には訪問者を正規の Web サイトから彼が作成した偽の Web サイトにリダイレクトします。 DNS レコードはユーザーの制御下にないため、ユーザーは自分自身を守ることができないため、これは攻撃の中で最も危険です。

捕鯨

CEO や政府関係者などの富裕層や要人を標的とするスピア フィッシングの一種。

電子メールのなりすまし

フィッシングメールは通常、正規の企業または個人からの通信を装います。これらの詐欺師は、巧妙に偽装したログイン ページを使用してログイン資格情報と PII (個人を特定できる情報) を収集する偽 Web サイトへのリンクを未知の被害者に提示する可能性があります。このページには、個人情報を盗むトロイの木馬、キーロガー、その他の悪意のあるスクリプトが含まれている可能性があります。

Web サイトのリダイレクト

Web サイトのリダイレクトにより、ユーザーは、ユーザーがアクセスしようとしていた URL とは異なる URL に送信されます。脆弱性を悪用する詐欺師は、リダイレクトを挿入し、ユーザーのコンピュータにマルウェアをインストールする可能性があります。

タイプスクワッティング

タイポスクワッティングは、外国語のスペル、よくあるスペルミス、または Web サイトのドメインの微妙な違いを使用する偽の Web サイトへのトラフィックを誘導します。フィッシング詐欺師は、ドメインを使用して正規の Web サイトのインターフェイスを模倣し、ユーザーが URL を入力したり読み間違えたりするのを利用します。

偽の有料広告

有料広告もフィッシングに使用される戦術です。これらの(偽の)広告は、検索結果に表示するために詐欺師が料金を支払ったタイポスクワッティング ドメインを使用しています。この Web サイトは、Google の検索結果の上位に表示される場合もあります。

アタケの水飲み場

水飲み場攻撃では、フィッシング詐欺師がユーザーを分析し、どの Web サイトに頻繁にアクセスするかを特定します。彼らはこれらのサイトをスキャンして脆弱性を探し、ユーザーが次回そのサイトにアクセスしたときにターゲットにするように設計された悪意のあるスクリプトを挿入しようとします。

なりすましおよび偽のギフト

ソーシャルメディア上の影響力のある人物を擬人化したもの。フィッシング詐欺師は、会社のリーダーを装って景品を宣伝したり、その他の欺瞞的な行為を行ったりすることがあります。このトリックの被害者は、世間知らずのユーザーを見つけることを目的としたソーシャル エンジニアリング プロセスを通じて個別に選ばれる可能性があります。これらの詐欺師は、認証済みアカウントをハッキングし、認証済みステータスを維持したままユーザー名を変更して実在の人物になりすますことができます。

最近、フィッシャー (フィッシングを行う詐欺師) は、チャットの改ざん、個人になりすまし、正規のサービスの模倣など、同じ目的で Discord、X、Telegram などのプラットフォームを集中的にターゲットにしています。

悪意のあるアプリケーション

フィッシング詐欺師は、ユーザーの行動を監視したり、機密情報を盗んだりする悪意のあるアプリケーションを使用することもあります。これらのアプリは、価格トラッカー、ウォレット、その他の暗号通貨関連ツール (暗号通貨のユーザー ベースがあり、取引しやすいツール) として表示される場合があります。

音声およびSMSフィッシング

テキスト メッセージ ベースのフィッシング。多くの場合、SMS または音声メッセージを介して行われ、ユーザーに個人情報の共有を促します。

フィッシング vs.ファーミング

ファーミングをフィッシング攻撃の一種と考える人もいますが、ファーミングは別のメカニズムに依存しています。フィッシングとファーミングの主な違いは、フィッシングでは被害者が間違いを犯す必要があることです。一方、ファーミングでは、被害者は、DNS レコードが詐欺師によって侵害された正規の Web サイトにアクセスを試行するだけで済みます。

ブロックチェーンと暗号通貨の分野でのフィッシング

ブロックチェーン技術はその分散型の性質により堅牢なデータセキュリティを提供しますが、ブロックチェーン空間のユーザーはソーシャルエンジニアリングやフィッシング詐欺の試みに常に警戒し続ける必要があります。サイバー犯罪者は多くの場合、人間の脆弱性を悪用して秘密キーやログイン認証情報にアクセスしようとします。ほとんどの場合、詐欺は人的ミスに依存します。

詐欺師は、ユーザーをだましてシード フレーズを暴露させたり、偽のアドレスに資金を送金させようとしたりすることもあります。注意を払い、推奨されるセキュリティ慣行に従うことが重要です。

最終的な考慮事項

結論として、フィッシング詐欺を理解し、進化する技術について常に最新の情報を得ることが、個人情報と財務情報を保護するために不可欠です。強力なセキュリティ、教育、意識向上対策を組み合わせることで、個人や組織は、相互接続されたデジタル世界で常に存在するフィッシングの脅威に対して自らを強化することができます。ステイサフ!

さらに読む

  • 保有する暗号通貨を保護するための 5 つのヒント

  • Binance アカウントのセキュリティを向上させる 5 つの方法

  • ピアツーピア (P2P) 取引で安全を保つ方法

免責事項: このコンテンツは情報提供および教育目的のみに「現状のまま」提供されており、いかなる種類の保証もありません。このコンテンツは、財務、法律、または専門的なアドバイスとして解釈されるべきではなく、特定の製品やサービスの購入を推奨するものではありません。専門アドバイザーから独自のアドバイスを求める必要があります。第三者寄稿者によって投稿された寄稿および記事の場合、表明された意見はそれぞれの著者のものであり、必ずしもバイナンス アカデミーの意見を反映しているわけではないことに注意してください。詳細については、こちらの免責事項をお読みください。デジタル資産の価格は変動する可能性があります。投資価値は増減する可能性があり、投資額を取り戻せない場合があります。投資決定についてはお客様が単独で責任を負い、Binance Academy はお客様の損失の可能性について責任を負いません。この資料は、財務的、法律的、または専門的なアドバイスとして解釈されるべきではありません。詳細については、利用規約とリスク通知をご覧ください。