フィッシング VS なりすまし
一見よく似た2つのサイバー犯罪
2023年10月6日
著者: Ahona Rudra
翻訳: 高峯 涼夏
この記事はPowerDMARCのブログ記事 Phishing vs Spoofing の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
フィッシングとなりすましは、いつの時代にも懸念されるトピックです。
フィッシングとなりすましは、異なる2つのタイプのサイバー犯罪であり、素人目にはよく似ているように見えます。
しかし、両者には違いがあり、消費者としてどのように対処すべきかも異なります。
誰かが正当なユーザの身元を装った場合、それはなりすましと呼ばれます。
一方、フィッシングは、人を欺くためにソーシャルエンジニアリング技術を使用し、犯罪者がユーザの個人情報や機密データを盗むことを指します。
これらの違いについて、混乱したことはありませんか?
フィッシングとなりすましの違いを知りたいかもしれませんね。
それでは、両者について見てみましょう!
なりすましとフィッシングの概要
技術の進歩とインターネットへのアクセスの普及により、なりすまし、データ漏洩、クレジットカード詐欺などのホワイトカラー犯罪※にサイバー攻撃が頻繁に利用されるようになりました。
インターネット上の犯罪者や詐欺師が、コンピュータシステムやネットワークに損害を与え、操作し、破壊し、金銭的損失を与える最も一般的な手法は、フィッシングとなりすましメールです。
※訳注:ホワイトカラー犯罪とは、個人、企業、政府関係者などが、金銭的動機に基づいて犯す非暴力的な犯罪のことです。
なりすましもフィッシングも、電子的に作成された、または偽造された文書に関連しています。
したがって、これらはある程度、同義語として扱われます。
フィッシングではなりすましの方法が頻繁に使われるものの、なりすましは必ずしもフィッシングとみなされるわけではありません。
フィッシングとは?
フィッシングとは、権限のない第三者が人を騙して個人情報を開示させようとする試みです。
これは通常、正当に見えるメールを受信することで発生しますが、そのメールには個人情報(パスワードやクレジットカード番号など)を盗むために設計された詐欺的なWebサイトにユーザを誘導するリンクや添付ファイルが含まれています。
Verizonの2021 DBIRによると、すべてのデータ侵害の約25%がフィッシングに関与しており、データ侵害の85%には人的要因が含まれています。
フィッシングのメールは、銀行、オンラインショッピングサイト、またはその他の信頼される企業からの公式なメッセージのように見え、アカウントのユーザ名、パスワード、セキュリティに関する質問などの個人情報を更新するように求められることがあります。
したがって、これらのメールに含まれるリンクをクリックする前に、それらのリンクを再度確認することが重要です。
なりすましとは?
なりすましとは、サイバー犯罪者が、評判がよいまたはよく知られている情報元として振る舞う方法です。
攻撃者は、正当な情報元として偽のメールドメインを使用します。
なりすましには、偽のメール、通話、DNSなりすまし、GPSなりすまし、Webサイトなど、さまざまな形態があります。
これにより、攻撃者はターゲットとやりとりを行い、データを盗んだり、金銭を要求したり、またはマルウェアやその他の悪意のあるソフトウェアでデバイスを感染させることを最終的な目的として、そのシステムやデバイスにアクセスできます。
なりすまし攻撃の目的は、ユーザ名やパスワード、クレジットカード番号、銀行口座の詳細などの機密情報にアクセスすることです。
なりすましは、フィッシング攻撃でもよく使用されています。
そして、サイバー活動の約90%がなりすましに関与しています。
フィッシングとなりすましの主な違い
テクニック
なりすましとフィッシングは、ユーザから機密情報を引き出すために使われる2つのタイプの攻撃です。
どちらも、ユーザに個人情報を明かさせたり、マルウェアをダウンロードさせたりするために詐欺的なメールメッセージを使用しますが、それらの手口には違いがあります。
なりすまし
なりすましは、ID詐欺とも呼ばれ、正当な送信元から送られたように見える偽のメールを送り付けます。
その目的は、受信者にパスワードやクレジットカード番号などの個人情報を明かさせることです。
フィッシングはなりすましの一形態であり、受信者自身に関する詳細な情報を提供させるために、受信者にリンクをクリックしたり、添付ファイルをダウンロードするように求める偽のメールを送り付けます。
フィッシング
フィッシングは通常、ソーシャルエンジニアリングのテクニックを使用し、急を要する事態であったり、同情心を呼び起こすような内容にすることで、犠牲者の感情を引き出して目的を達成します。
なりすましはよりテクニカルで、多くの場合、受信トレイでの見た目が同じようになっていることがよくあるため、どのメールが本物でどれが偽物かを犠牲者が見分けることは不可能になります。
目的
なりすまし
なりすましは新しい(偽の)身元を得るために行われます。
この背後にある考え方は、犠牲者に、自分が知っているか、または信頼している誰かとコミュニケーションをとっていると信じ込ませることです。
これは、メール、インスタントメッセージ、あるいはFacebookのようなソーシャルメディアを通じて行うことができます。
フィッシング
フィッシングは機密情報を得るために行われます。
目的は、個人情報を騙し取ることです。
それは例えばパスワードやクレジットカードの詳細であり、受信者が受け取ったメッセージについて、自分が利用している銀行や他の信頼される機関、またはサービスプロバイダからのものだと信じ込むよう仕向けることを意味します。
なりすましを防ぐ方法
組織内でなりすまし攻撃を防ぐためには、いくつかの方法があります。
それには以下のようなものが含まれます。
Sender Policy Framework (SPF)
SPFは、メールのなりすましに対抗する方法のひとつです。
メールの送信者が、ドメインに代わってメッセージを送信する権限があるかどうかを検証するために使われます。
もし権限がない場合、受信サーバはそのメッセージを直ちに拒否することができます。
SPFレコードには、ドメインのためにメールを送信することを許可されたIPアドレスのリストが含まれています。
このレコードは、各ドメインのDNSゾーンファイルに配置されます。
PowerDMARCによる無料のSPFチェッカーツールを使用して確認することができます。
DomainKeys Identified Mail (DKIM)
DKIMは、メールが正当なものであり、転送中に改竄されていないことを検証します。
これは、送信中にメッセージに追加されるデジタル署名を使用して行われ、受信サーバは(ドメインの)DNSレコードで検証することができます。
Domain-Based Message Authentication, Reporting & Conformance (DMARC)
DMARCは、あなたの会社を名乗るものの、実際にはあなたの組織のサーバから送られていない不正なメールをどのように取り扱うかのポリシーを設定することができます。
これらのポリシーには、不正なメールに対するクレームや報告が必要かどうか、あなたのドメインからの疑わしいなりすましメールをISPがどのように取り扱うべきかの指示などが含まれます。
フィッシングを防ぐ方法
フィッシング攻撃は非常に巧妙に行われます。
攻撃メールは多くの場合、公式に見えるメールアドレスから送られてきたり、見慣れたロゴや画像が使われたり、本物のように思えることもあります。
これらの手口に引っかからないためには以下を徹底してください。
- 誰が送ったかわからないメールの添付ファイルを開いたり、リンクをクリックしたりしないでください。
- 信頼できる会社からのものだと主張してくるメールに、スペルミスや文法ミス、書式のエラーがないか確認してください。
- 定期的にクレジットカードの明細を確認し、不審な点がないことを確認してください。
何か怪しいものがあれば、すぐに銀行に連絡してください。 - カフェやホテルの公共Wi-Fiを使用しないでください。
ハッカーは同じネットワーク上であなたの隣に座っている間にあなたのデータにアクセスすることができます。
最後に
簡潔に言えば、フィッシングとは、信頼できるエージェントのふりをしてターゲットから機密情報を収集しようとすることです。
なりすましとは、メッセージの受信者を意図的に欺き、そのメッセージが誰か、あるいはどこか別の人物から届いたと思わせようとすることです。
ご覧の通り、これらの用語の間にははっきりとした違いがありますが、どちらも個人情報や信用に重大な被害をもたらす可能性があります。
PowerDMARCの専門家に相談し、私たちのソリューションを利用することが、自分自身を守る最善の予防策です。
PowerDMARCを試されたい方は、こちらから無料トライアルについてお問い合わせください。