業界別に見るフィッシング攻撃の手口と対策
著者: Milena Baghdasaryan
翻訳: 東條 百々朱
この記事はPowerDMARCのブログ記事 Industry Phishing: How Phishing Attacks Target Different Sectors の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
主なポイント
- フィッシング攻撃は、各業界の業務プロセスや専門用語、弱点に合わせて巧妙に作り込まれています。
- 医療、金融、その他の重要インフラ分野では、それぞれ固有の攻撃手法が用いられます。
- 業界特化型フィッシングは、より本物らしく見えるため成功率が高まります。
- 防御策も業界特有の脅威に合わせて設計する必要があります。
- セキュリティ意識向上トレーニングには、自組織の業界に関連する事例を含めるべきです。
フィッシング攻撃は、業界ごとの固有の脆弱性を悪用するために、標的となる業界に合わせた戦略を採用することで進化しています。
医療機関は偽の「患者情報更新」通知を受け取り、金融機関は偽の請求書を受け取り、その他の業界でも日常業務に合わせて設計された攻撃に直面しています。
業界特化型フィッシングは高度なカスタマイズによって成功率を高めるため、業界に応じた防御策が不可欠です。
業界別フィッシングとは?
業界別フィッシングは、不特定多数を狙う一般的な攻撃ではありません。
特定の業界を狙って巧妙に仕立てられた攻撃です。
攻撃対象を絞り込むほど、攻撃の成功率は高くなります。
攻撃者は対象業界を徹底的に調査し、攻撃をできるだけ本物らしく見せることに注力します。
従業員の業務習慣や、価値の高いデータ、日常的に利用されているシステムなどを徹底的に調査します。
業界特有の手法を用いる攻撃者に対しては、画一的なセキュリティ対策では十分に対応できません。
標的型攻撃には、標的に応じたセキュリティ対策が必要です。
なぜ業界特化型フィッシングは効果的なのか:攻撃者の手口
スペルミスだらけの一般的なフィッシングメールは減少しています。
現在の攻撃者は、業界知識を活用した高度な攻撃を展開しています。
その戦略は主に以下の3つの要素に基づいています。
データの価値
攻撃者は、金銭的価値の高いデータを保有する業界を優先的に標的とします。
- 金融情報
- 医療情報(PHI)
- 学生の個人情報(PII)
- 知的財産
などが主な標的です。
心理的な誘導と業務上の信頼関係の悪用
攻撃キャンペーンは、被害者の職務に関連する緊急性や好奇心を刺激します。
例えば、
- 医療従事者には
-
- 「緊急の検査結果」
- 「患者情報更新」
- 金融担当者には
-
- 「支払い期限を過ぎた請求書」
- 「至急対応が必要な送金依頼」
といった内容が送られます。
業務フローの悪用
攻撃者は、従業員が日常的に利用する組織やサービスになりすまします。
例えば、
- 信頼されているベンダー
-
- ソフトウェア提供会社
- 政府機関
- 社内の経営幹部
などです。
主要業界におけるフィッシングの事例と傾向
フィッシング攻撃の手口や目的は業界ごとに大きく異なります。
金融・銀行業界
金融機関は資金への直接アクセスが可能なため、最も狙われやすい業界です。
- 主な目的
-
- 認証情報の窃取
- 不正送金
- BEC(Business Email Compromise)
- 攻撃例
- BEC攻撃は特に深刻です。
Hoxhuntの2025年レポートによると、2024年には64%の企業がBEC攻撃を経験しました。
1件あたりの平均損失額は15万ドルに達しています。 - 特有の誘導手法
-
- SECなど金融規制当局になりすましたメール
- 正規の送金依頼を装った偽の送金指示
- 社内金融システムのログインページを再現した偽サイト
医療業界
医療業界はハッカーにとって非常に魅力的な標的です。
患者情報を利用した個人情報詐欺や、ランサムウェア攻撃の侵入口として狙われます。
- 攻撃例
-
- 患者情報の窃取
- ランサムウェア感染
- 医療請求システムの侵害
2024年のChange Healthcare事件では、約1億9,270万人分の情報が影響を受けました。
- 特有の誘導手法
-
- 患者情報更新通知
- 新しい検査結果通知
- 緊急の保険請求問題
Change Healthcareの大規模侵害も、単一アカウントを狙った認証情報窃取型フィッシングから始まりました。
教育機関
学校や大学は大量の学生情報や研究データを保有しています。
一方で、セキュリティ対策に十分な予算や人員を確保できていないケースも少なくありません。
- 攻撃例
-
- 学生情報の窃取
- 研究データや知的財産の窃取
- 特有の誘導手法
-
- 学生ローン免除プログラム
- 偽の学内アルバイト募集
- 教授や管理者を装ったメール
小売・EC業界
EC業界は大量の顧客情報と決済情報を扱うため、攻撃者にとって魅力的な標的です。
- 攻撃例
-
- クレジットカード情報の窃取
- 偽請求書詐欺
- ブランドなりすまし攻撃
- 特有の誘導手法
-
- 「配送に問題があります」
- 「注文確認」
- 「アカウント停止通知」
などを装った偽メールです。
政府機関・公共機関
政府機関は金銭目的の攻撃者だけでなく、国家支援型の攻撃者にも狙われます。
- 攻撃例
-
- 情報収集を目的とした標的型攻撃
- ランサムウェア攻撃
- 認証情報の窃取
- 特有の誘導手法
-
- 税申告シーズン関連通知
- 公的支援プログラム通知
- FBIやCISAを装ったセキュリティ通知
業界別フィッシングへの対策
- メール認証の導入
- SPF、DKIM、DMARCを導入します。
これらを組み合わせることで、ドメインなりすましによるフィッシングメールを防止できます。
DMARCを強制適用することで、悪意のあるメールが受信者へ届く前にブロックできます。 - メールセキュリティ教育
- 業界に特化したフィッシング訓練を実施します。
調査によると、従業員教育によって報告率は6か月で最大6倍向上し、フィッシング被害を最大86%削減できます。 - 脅威インテリジェンスの共有
- ISACなどの業界別情報共有組織へ参加します。
同業他社が受けている攻撃を把握することで、先回りした防御が可能になります。 - AIによるフィッシング検知
- 最新のセキュリティ製品は、
- メール本文
- 送信者の評判
- ユーザや送信者の行動パターン
- インシデント対応計画
- フィッシング攻撃が成功した場合の対応手順を事前に整備し、定期的に訓練することが重要です。
迅速な対応により、被害を最小限に抑えることができます。
業界別フィッシングの未来
- AI生成フィッシング
- AIは自然な文章で文脈に合ったメールを生成できるため、従来の不自然な表現による見分け方が通用しなくなっています。
- ディープフェイクフィッシング
- 音声や動画のディープフェイクを利用し、経営幹部になりすます攻撃が増加しています。
2024年にはWPPの幹部が、CEOの音声ディープフェイクを利用した詐欺の標的となりました。 - QRコードフィッシング(Quishing)
- QRコードに悪意のあるリンクを埋め込み、ユーザを不正サイトへ誘導する攻撃も増えています。
まとめ
フィッシング攻撃は、業界ごとの弱点を狙って進化しています。
一般的な防御策だけでは十分ではありません。
自社の業界特有の脅威を理解し、それに合わせた対策を講じることが重要です。
高度化するフィッシング攻撃に対抗するには、自社の業界特有のリスクを踏まえたセキュリティ対策が欠かせません。
よくある質問
- 最もフィッシング攻撃を受ける業界はどこですか?
- 一般的には金融業界です。
高価値なデータと資金への直接アクセスを持つためです。
ただし、医療、教育、政府機関も頻繁に標的となっています。 - フィッシングの主な標的は誰ですか?
- 機密情報を扱う人すべてです。
例えば、- 財務担当者
- 医療管理者
- 政府職員
- IT管理者
- 学生
- 顧客
- 最も一般的な標的型フィッシングは何ですか?
- 認証情報窃取です。
偽のログインページを利用してユーザ名やパスワードを盗みます。
BECも広く利用されている手法です。 - データ侵害にはどれくらいのコストがかかりますか?
- IBMの「Cost of a Data Breach 2024」によると、世界平均の侵害コストは488万ドルです。
金融業界では608万ドルと、世界平均を約22%上回っています。