MailData

フィッシングサイトを識別する方法

フィッシングサイトを識別する方法

フィッシングサイトの見分け方と防御方法

2024年2月13日
著者: Ahona Rudra
翻訳: 竹洞 陽一郎

この記事はPowerDMARCのブログ記事 How to Identify a Phishing Website? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

フィッシングサイトは、正規のサイトに似た詐欺的なURLを持ち、微妙なバリエーションやスペルミスが含まれていることが多いです。
デザインの質が低い、または異常なポップアップやリダイレクトが含まれている場合もあります。
これらの悪意のあるサイトは、パスワードやクレジットカードの詳細などの機密情報を要求する、または見知らぬリンクをクリックするように求める未承諾のメールに注意することで識別できます。

フィッシングサイトとは?

フィッシングサイトとは、正規のサイトに似せて作られた詐欺的なオンラインプラットフォームで、ユーザを欺いて個人情報を提供させることを目的としています。
驚くべき統計によると、53%の従業員がフィッシングメールの犠牲となり、23%がデータを入力し、7%のみがセキュリティにこれらのシミュレーションを報告しています。
IBMによると、フィッシングによるデータ侵害は平均で4.35百万ドルのコストがかかると推定されており、フィッシングの仕組みを理解することが重要です。

フィッシングの仕組み

詐欺師は本物そっくりの偽のWebサイトを作成します。
彼らはまた、正規のものであると信じ込ませるために、メールや電話などの社会工学的手法を使用することもあります。
詐欺師は信頼できる人物(例えば、ITサポート担当者)になりすますか、アカウントがハッキングされたと伝えるなどの恐怖戦術を使用して、人々からログイン情報やその他の機密情報を引き出します。
この情報を使用して、詐欺師はアカウントにアクセスし、金銭や個人データ、パスワードを盗みます。

フィッシングサイトの見分け方

フィッシングサイトを避ける最善の方法は、兆候を認識し、それらを識別する方法を知ることです。
以下はフィッシングサイトを識別するいくつかの方法です。

ドメイン分析
特定のWebサイトにアクセスするように依頼するメールを見たとき、最初に行うべきことはそのドメイン名を確認することです。
例えば、「paypal.com」にサインインするように求めるメールを受け取ったが、リンクが「paypal-update.com」に移動する場合、それはおそらくPayPalの正規のサイトではありません。
証明書の透明性ログ分析
フィッシングサイトを検出する一つの方法は、そのSSL証明書を証明書の透明性ログと比較することです。
証明書の透明性(CT)は、特定のCAまたはルート証明書機関(CA)が発行したすべてのSSL証明書(安価なSSL証明書を含む)を確認できるようにします。
いつその証明書が発行されたか、誰がそれを要求したか、どこで使用されたかも確認できます。
HTMLとJavaScriptコードの検査
攻撃者は、元のサイトのHTMLとJavaScriptコードをすべてコピーして、フィッシングサイトを本物のように見せようとするかもしれません。
FirebugやChrome Developer ToolsなどのWebインスペクターツールを使用して、ページのHTMLとJavaScriptコードを視覚的に検査し、元のサイトとの違いを確認できます。
URLの信頼性チェック
Googleなどの検索エンジンは、既知の悪意のあるURLのブロックリストを持ち、これらのサイトへのアクセスを自動的にブロックします。
ブラウザのアドレスバーにこれらのURLのいずれかが表示された場合、誰かがあなたの銀行やGoogleに既知の悪意のあるURLを持つ会社をなりすましている可能性があります。
機械学習とAIモデルによるフィッシング検出
高度な機械学習アルゴリズムやAIモデルを利用して、URL構造、コンテンツ、画像、行動パターンなど、Webサイトのさまざまな特徴を分析し、フィッシングの可能性を特定します。
これらのモデルは、パターンや過去のデータから学習することで、疑わしいWebサイトを効果的に検出し、フラグを立てることができます。
コンテンツ分析と自然言語処理(NLP)によるテキストの手がかり
自然言語処理技術を使用して、Webサイトのテキストコンテンツを分析し、フィッシングの指標を特定します。
コンテンツの言語、文法、意味を分析することで、NLPアルゴリズムはフィッシングの可能性を示す疑わしいパターン、文法の誤り、または誤解を招く情報を検出できます。
DNSとIP信頼性分析
ほとんどのフィッシングサイトは、ホスティングプロバイダやISPによって禁止されたさまざまなIPアドレスを使用します。
したがって、未知のドメイン名からサイトにアクセスし、そのIPアドレスがそのような範囲にある場合、それはフィッシングサイトである可能性が高いです。
社会工学的手法の分析
フィッシングメールには、できるだけ本物のように見せるためのいくつかの社会工学的手法が含まれています。
例えば、ユーザが細部に注意を払わないと簡単に見過ごされるタイプミスや文法の誤りが含まれているかもしれません。
受信したメールの真偽を確認する前に、常に確認するようにしてください。
メールヘッダーとメタデータの分析
メールヘッダーは、メールが送信および受信された日時や、どのタイプの接続が使用されたか(例えば、GmailやYahoo! MailなどのWebメールサービスは、メールがWebブラウザまたはモバイルデバイスから送信されたかどうかを示します)に関する有用な情報を提供します。
メタデータには、受信トレイでメッセージを表示するときに表示されない添付ファイルなどのメールメッセージに関する追加情報が含まれます。
ユーザエージェント分析とデバイスフィンガープリンティング
フィッシングサイトを識別する最も簡単な方法の一つは、そのユーザエージェントリクエストヘッダーを確認することです。
このヘッダーには、サイトを訪問するために使用されたデバイスに関する情報が含まれており、オペレーティングシステムやブラウザの種類などが含まれます。
この情報があなたの組織のWebサイトで予想されるものと一致しない場合(または全くユーザエージェントヘッダーが存在しない場合)、それは本物のサイトの偽バージョンを訪れている可能性が高いです。
Webサイトのハニーポットとフィッシングシンクホール
Webサイトのハニーポットは、フィッシング攻撃の潜在的な犠牲者を引き寄せるために設計された偽のWebサイトです。
フィッシングシンクホールは、ネットワーク内の疑わしい活動を分析するためのもう一つの有用なツールです。
これらのツールを使用すると、特定のサイトとどれだけ多くのユーザが相互作用しているかを確認でき、正規のサイトかどうかを判断するのに役立ちます。
視覚的な類似性比較技術
フィッシングサイトを識別する一つの方法は、そのデザインを既知のサイトと比較することです。
例えば、PayPalからクレジットカード番号やパスワードなどの個人情報を要求するメールを受け取ったが、そのメールがPayPalが送信するものと似ていない場合、それはフィッシングの試みかもしれません。
この技術は、そのサイトの使用経験がある場合に最も効果的です。

フィッシングのWebサイトを確認する方法

フィッシングのWebサイトを確認するには、さまざまな方法やツールを使用できます。
以下の手順を実行して、潜在的なフィッシングサイトを特定するのに役立ててください。

Webサイトの正当性を確認する
WebサイトのURLとドメイン名を確認します。
偽のWebサイトを示す可能性のある疑わしいバリエーションやスペルミスがないか確認します。
例えば、「google.com」ではなく「g00gle.com」などです。
また、Webサイトが安全な接続(HTTPS)を持っていることを確認し、ブラウザのアドレスバーにパドロックアイコンが表示されていることを確認します。
Webサイトのデザインとコンテンツを検査する
フィッシングサイトは正規のWebサイトのデザインとレイアウトを模倣することが多いですが、微妙な違いがあるかもしれません。
文法の誤り、スペルミス、または異常な書式設定などに注意を払い、これらはフィッシングの試みを示す指標です。
また、一部のフィッシングサイトは安価なWebサイトビルダーを使用して急ごしらえされているため、一貫性や疑わしい要素に注意してください。
未承諾のメールやリンクに注意する
メールやメッセージでWebサイトへのリンクを受け取った場合、注意を払ってください。
フィッシング攻撃は、悪意のあるWebサイトに誘導しようとする欺瞞的なメールを含むことが多いです。
疑わしいリンクをクリックしないようにし、クリックする前にリンクの宛先URLをホバーして確認してください。
フィッシングWebサイトデータベースを使用する
いくつかの組織は、既知のフィッシングWebサイトのデータベースを維持しています。
これらのリソースを使用して、特定のWebサイトが悪意のあるものとして報告されているかどうかを確認できます。
例として、Google Safe BrowsingPhishTankがあります。
オンラインの評判を確認する
他の人がそのWebサイトを疑わしいと報告しているか、またはそのWebサイトに関して悪い経験をしているかどうかを確認するために、オンラインで検索を行います。
ユーザレビュー、フォーラム、セキュリティブログは、Webサイトの評判に関する貴重な洞察を提供できます。
ブラウザ拡張機能やセキュリティソフトウェアを利用する
既知のフィッシングWebサイトを検出してブロックするのに役立つブラウザ拡張機能やセキュリティソフトウェアをインストールします。
これらのツールは、潜在的に悪意のあるサイトを訪問した際に警告やアラートを提供します。

フィッシングサイトからの保護方法

では、フィッシング攻撃から自分を守るにはどうすればよいのでしょうか?
オンラインのセキュリティを確保するために必要な手順を確実に実行する必要があります。
以下はフィッシング攻撃を防ぐための効果的な戦略です。

DMARC(Domain-based Message Authentication, Reporting, and Conformance)の実装
DMARCを導入することで、受信メールの正当性を検証する高度なメール認証プロトコルを提供します。
DMARCはメールのなりすましを防止し、メールのセキュリティを強化するためにメールポリシーを定義し、レポートメカニズムを有効にします。
メールフィルタリングおよびスパム対策ソリューション
機械学習アルゴリズムやヒューリスティックを組み込んだ強力なメールフィルタリングシステムを採用し、疑わしいメールを識別してブロックします。
これらのソリューションは、メールヘッダー、コンテンツ、添付ファイル、および送信者の評判を分析して、フィッシングメールがユーザの受信トレイに到達するのを防ぎます。
Webブラウザの保護
リアルタイムのフィッシングWebサイト検出およびブロック機能を提供するブラウザ拡張機能やプラグインを利用します。
これらのツールは、URL、Webコンテンツ、既知のフィッシングデータベースを分析して、ユーザがブラウジング中に積極的に保護します。
高度な脅威インテリジェンスプラットフォーム
世界的な脅威の状況を監視および分析し、フィッシングの新しい手法や悪意のあるドメインに関するリアルタイムの更新を提供する高度な脅威インテリジェンスプラットフォームを活用します。
これらのプラットフォームは、組織が進化する脅威を事前に把握し、リスクを積極的に軽減するのに役立ちます。
WAF(Web Application Firewall)
悪意のあるトラフィックを検出してブロックするためのWAFソリューションを導入し、既知のフィッシング攻撃パターンを含むHTTP/HTTPSリクエストを検査し、高度なルールセットを適用することで、Webアプリケーションを対象としたフィッシングの試みから保護します。

フィッシングサイトの報告方法

フィッシングサイトを報告するには、以下の一般的な手順に従います。

詳細を記録する
WebサイトのURLや、報告に役立つその他の情報を記録します。
これには、Webサイトのスクリーンショット、メールヘッダー、またはフィッシング試みに関連する疑わしいメッセージややり取りなどが含まれるかもしれません。
Webサイトのホスティングプロバイダに報告する
WHOIS検索を実行してフィッシングWebサイトのホスティングプロバイダを特定します。
(例えば、https://whois.icann.org/ を使用)
ホスティングプロバイダを特定したら、そのWebサイトにアクセスし、指定された連絡先や不正行為の報告メカニズムを探します。
提供されたチャンネルを通じて、すべての関連詳細と証拠を含めて報告を送信します。
フィッシング対策組織に報告する
フィッシングと戦うために積極的に活動し、報告されたフィッシングWebサイトのデータベースを維持している組織があります。
これらの組織にフィッシングWebサイトを報告することで、意識を高め、他の人々が被害に遭わないようにする手助けができます。
例えば、以下のような組織があります。
地元の当局に報告する
フィッシングの試みが盗難、詐欺、その他の犯罪行為に関連していると信じる場合は、地元の法執行機関またはサイバー犯罪当局に報告することをお勧めします。
収集したすべての証拠と情報を提供します。
組織に報告する(該当する場合)
フィッシング試みが職場や組織に関連している場合は、直ちにIT部門またはセキュリティチームに報告します。
組織とその従業員を保護するために適切な行動を取ることができます。

結論:Webサイトフィッシング攻撃に対する防御を強化する

もちろん問題は、フィッシング攻撃がますます巧妙で複雑になっていることです。
多くの人々が被害に遭う中、あらゆる支援を受ける必要があります。
フィッシング攻撃に対する防御を強化するためには、フィッシングメールがどのように作られて誤解させるのかを認識することが重要です。

一つに引っかかる可能性は常にありますが、より多くの人々がフィッシング手法について意識を持つことで、より多くの人々がそれを見分けることができ、被害を避けることができるでしょう。