フィッシングはなぜ効果的なのか?
フィッシング攻撃を理解して身を守るために
2023年11月24日
著者: Ahona Rudra
翻訳: 高峯 涼夏
この記事はPowerDMARCのブログ記事 Why is Phishing so effective? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
フィッシングは、インターネットに対する人々の本質的な信頼を利用するため、効果的で危険なサイバー犯罪です。
犯罪者が自身を騙して個人情報を引き出すことができるという考えは、多くの人にとって信じがたいものですが、それがために、良識ある人々であってもフィッシング攻撃の被害に遭いやすいのです。
フィッシングが効果的で危険なサイバー犯罪である主な要因
フィッシングは、簡単に実行でき、発見されにくい一般的なサイバー犯罪です。
フィッシングは何十年も前から存在していますが、今でも企業や個人にとって大きな脅威となっています。
- フィッシングが効果的なサイバー犯罪であるのは、その手口が非常に単純だからです。
誰でも、メールを送信したり、ソーシャルメディアに何かを投稿したりするだけで、それが正当な企業や個人からのものであるように見せかけることができます。
アカウントにログインしてパスワードを変更するよう求めたり、クレジットカード番号や他のアカウントのパスワードなどのデータを入力するよう求めたりすることが可能です。 - フィッシングが効果的な理由は、犯人が特定の個人やグループをターゲットにできるからです。
また、被害者を騙して情報を提供させるために、さまざまな手口を使うことができるからです。
例えば、正当な企業(Googleなど)から送られたように見える、自社のWebサイトでアカウントにログインするよう求めるメールを送るかもしれません。
この手口に引っかかると、あなたのユーザ名とパスワードが盗まれてしまいます!
- フィッシングが効果的な犯罪であるもう一つの理由は、それを取り締まる法律がまだ存在しない※ことです。
現時点では、オンラインでの嫌がらせや詐欺と見なされているだけなのです!
これは、上記のようなフィッシング詐欺によって個人情報を盗まれても、被害者は法的手段を取ることができないことを意味します。 - 近年でもフィッシングに関する認知度はあまりありません。
ほとんどの企業の従業員、ドメイン所有者、個人は「フィッシング」という言葉を何となく聞いたことがあるだけで、その手口や対策について正しく理解していません。 - (フィッシングが効果的な犯罪である)理由の一つは、フィッシングの実行が非常に簡単だからです。
必要なのはコンピュータと、その使い方に関する基本的な知識です。
これにより、フィッシングは安価で簡単に実行でき、だからこそ非常に危険です。 - もう一つの理由は、人間は騙されることが得意であるということです。
私たちの脳は、目で見たものを信じるようにできており、フィッシング詐欺師たちはこの傾向を利用して、人々が自分の利益に反する行動をとるように仕向けています。
※訳注:日本国内では「不正アクセス禁止法」によって他人のID・パスワードの入力を不正に要求する行為(フィッシング行為)等が禁止されています。
私たちは知らない人からのメールを開かない、または知らない人から送られてきたメールのリンクをクリックしない方が良いと知っているにも関わらず、時々それを行ってしまいます。
なぜなら、私たちの脳が、こうしたものを安全だと思い込ませているからです!
フィッシング詐欺を見破るには?
送られてきたメールが本物かどうかを確認する
もし本物かどうか分からない場合、確認できることがいくつかあります。
まず、メールを送ってきたのが知り合い(上司など)であれば、直接電話をして、本当にそのメールを送ったかどうか尋ねてみましょう。
もし本当に送ったと言うのであれば、要求されたことを実行しても良いでしょう。
しかし、もし送っていないと言われたら…それは何か怪しいことが起こっているかもしれませんね!
次に、メールアドレスを見てください。
そのアドレスは会社の公式アドレスのように見えますか?
この種のメールはしばしば「mailinator」などで終わるアドレスから送られることが多いですが、それは実際にはその会社から送られたものではないことを意味しています!※
※訳注:mailinatorとは、ブラウザ上で使える使い捨てメールアドレスサービスです。
このサービスを利用して作られたアドレスは、@以下が「mailinator.com」になります。
メッセージの認証を行う
推測をなくすために、SPF、DKIM、特にDMARCのような信頼できるプロトコルを使用してメールメッセージを認証することを検討できます。
認証は、ドメイン所有者がなりすまし、フィッシング、ランサムウェア、BECなどの幅広いサイバー攻撃を防ぐのに役立ちます。
兆候を見分ける
- メール内の誤字や文法の間違い、その他のエラーを探します。
ほとんどのフィッシングメールは、英語を母国語としない詐欺師が作成しているため、少なくとも一つのエラーが含まれています。 - メール内のリンクを確認します。
リンクがあなたの銀行やオンラインストアと関係のないWebサイトに誘導する場合、それをクリックするのは安全ではない可能性が高いです。 - 電話番号がメールに記載されている場合、Google VoiceやSkypeなどの信頼できる情報源で確認してから電話をかけましょう――たとえそれが正しいものであったとしても!
また、メールによる請求に疑問があれば、電話で機密情報を共有することなく、銀行に直接電話することもできます。
フィッシング詐欺の一般的な兆候に関する詳しいガイドをお読みください。
フィッシングに遭わないためには?
詐欺に遭わないためには、次のような対策を実施してください。
- メールやテキストメッセージ内のフィッシングリンクは、送信元が分からない限り、決してクリックしないでください。
(個人情報の入力を求められる場合も同様) - 送信者のメールアドレスを、本当のメールアドレスと比較してください(もし送信者が既にそれを提供していたならば)。
もし正しくないように見えたり、スペルミスやその他のエラーがあれば、開かないでください! - DMARCポリシーをp=rejectにしてください(DMARCの実施は段階的なプロセスであるため、最初は常にp=noneから始めることを推奨します)。
- 無料のDMARCトレーニングを受けて、従業員にメールの攻撃ベクトルとベストプラクティスについて教育してください。
最後に
フィッシング攻撃は、ネットワークをデータ漏洩やマルウェア感染のリスクにさらすだけでなく、企業にとっても毎年数百万ドルの損失や風評被害をもたらします(IBM調べ)。
これらの攻撃を防ぐ最善の方法は、意識を高め、早期に検出し、効果的な予防措置を講じることです。