フィッシングの5つのカテゴリー

失われたデータの復元は、数回クリックするだけです。

Syscloudの無料トライアルをお試しいただき、バックアップがどれだけ迅速で簡単かを体験してみてください。

今すぐ迅速で簡単なバックアップをお試しください

クラウドデータを今すぐ保護しましょう！

フィッシングはハッキングの歴史の中で最も早く進化したものの一つです。様々なタイプのフィッシング攻撃がインターネット上で瞬く間に広がりました。その進化は以下の通りです。

アメリカ・オンライン(AOL)は1990年代初頭にフィッシングの概念を提唱しました。

その間に、最初のフィッシャーは、AOLアカウントからオリジナルのカードの一致を得るために、ランダムなクレジットカード番号を生成するアルゴリズムを作成しました。

一致すると、フィッシャーはこのデータにアクセスして操作します。

AOLがこの詐欺に気づいた1995年以降には、フィッシャーはすでに新しいテクノロジーに移行していました。

次世代のフィッシャーは、より高度で技術に精通していました。

彼らは、よりコストがかからず、作成と追跡が容易なフィッシングの手段を選んだのです：メールフィッシング。

しかし2003年、あるアイデアがフィッシングの世界を変えました。

フィッシャーは、yahoo-info.comやmanager-apple.comのような有名なドメインに似ているドメインを購入し始めました。

これらのドメインを使って、洗練されたダイレクト・メールを送信しました。

同年、Paypalは、ユーザーに認証情報の確認を求めるフィッシングメールを受け取り、アカウントが危険にさらされました。  

以前は、フィッシングは主に2つの手段で行われていました：メールフィッシングとドメインスプーフィングです。

時が経つにつれ、詐欺師は攻撃を仕掛けるために新しいタイプのフィッシングを考案しました。この記事では、様々なタイプのフィッシング攻撃の完全な概要を説明します。

フィッシングとは、詐欺師が既知の個人、ビジネスパートナー、サービスプロバイダーになりすまし、悪意のある電子メールを個人や組織の大量ユーザーに送信するサイバー犯罪です。

フィッシング：フィッシングの "f "を "ph "に置き換えたもの。

これらのメールは、あなたが何の疑いも持たずに開封するように注意深く作られています。

この種のフィッシング攻撃は、攻撃者がシステムに侵入し、銀行口座情報、クレジットカード番号、社会保障番号、パスワードなどの機密データにアクセスするための扉を開くものです。

情報を入手すると、フィッシャーはすぐにその情報を悪用する人々に送ったり売ったりします。

フィッシングは情報を失うだけでなく、被害者のコンピューターや携帯電話にウイルスを注入することもあります。

一度感染すると、フィッシャーはデバイスをコントロールできるようになり、そのデバイスを通じてサーバーに接続している他の人々に電子メールやメッセージを送信できるようになります。

フィッシング・チャネルに基づき、フィッシング攻撃のタイプは以下のカテゴリーに分類されます：

ビッシングとは、電話を使ったフィッシングのこと。このフィッシングには音声が使われるため、vishing → voice + phishing = vishing と呼ばれています。

ソーシャル・ネットワークで入手できるデータの手軽さと膨大さを考えれば、フィッシング詐欺師が友人や親戚、あるいは関連ブランドの名前を騙って、何の疑いも持たずに自信満々に電話をかけてくるのは当然のことです。

SMSフィッシングまたはSMiShingは、最も簡単なタイプのフィッシング攻撃の1つです。

SMSアラートを使用することで、ユーザーをターゲットにします。

SMiShingでは、ユーザーが偽のDMや偽の注文詳細を受け取ることがあります。このリンクは、実際には個人情報を収集するための偽のページです。

サーチエンジンフィッシングとは、特定のキーワードを狙った偽のウェブページを作成し、検索者がその偽のウェブページにたどり着くのを待つフィッシングの一種です。

検索者は、一度リンクをクリックすると、手遅れになるまで、そのページが罠にはまったことに気づきません。

何百万人という見知らぬユーザーにメールを送信する従来のフィッシングとは異なり、スピアフィッシングは一般的に標的型であり、メールは特定のユーザーをターゲットに慎重にデザインされています。

このような攻撃は、フィッシング詐欺師がソーシャルメディアのプロフィールや企業のウェブサイトを通じて、ユーザーやその組織に関する社会的プロフィールを完全に調査するため、リスクが高くなります。

様々なタイプのフィッシング攻撃の中で、スピアフィッシングは最も一般的に使用されているタイプのフィッシング攻撃です。

ホエーリングはスピアフィッシングと大きな違いはありませんが、このタイプのフィッシング攻撃ではターゲットとなるグループがより特定され、限定されます。

この手口は、CEO、CFO、COOなどのC-suiteポスト、あるいはその他の上級管理職、一般的にフィッシング用語で "クジラ "として知られる、あらゆる組織の情報チェーンにおける重要人物と見なされる人物を狙います。

テクノロジー、バンキング、ヘルスケアはフィッシング攻撃の最も標的となる分野です。その主な理由は、ユーザー数が多いことと、データへの依存度が高いことの2つです。

主要なタイプのフィッシング攻撃を阻止するために取るべきいくつかの基本的な手順は以下の通りです:。

1.メールネットワークに複数の防御レベルを設定します。

2.どのようなフィッシング攻撃も、標的にされた被害者がリンクをクリックした場合にのみ成功します。従って、フィッシング攻撃を防ぐには、従業員や他のユーザーに対して、ネットワークにおけるフィッシング攻撃の種類についての認識を高め、教育することが最善の方法です。

様々なタイプのフィッシング攻撃を防ぐ方法について詳しく知りたい方は、フィッシング攻撃を防ぐには?

APWGレポートによると、2017年10月から2018年3月までのユニークなフィッシングサイトの数は73.80%に達していました。

また、報告されたフィッシング事件の48.60%が「.COM」ドメインを使用していました。

私たちは、私たちが利用するドメインやウェブサイトは安全だと思い込んでいますが、ハッカーは、なりすましドメインやクローンウェブサイトを使って、さまざまなタイプのフィッシング攻撃を仕掛けてきます。

詐欺師は、ソーシャル・エンジニアリングを利用して、潜在的な被害者のオンライン上での行動や嗜好を把握します。

これは、彼らが巧妙な攻撃を仕掛けるのに役立ちます。

使い慣れたユーザー名でメールを送信

上司になりすましてメールを送り、重要なデータを要求すること、

組織になりすまし、従業員に内部データの共有を求める行為。

メールでは、リンクをクリックしてログインし、ドキュメントを閲覧するよう呼びかけています。

企業名とアクションの緊急性を見ただけで、一部のユーザーはリンクをクリックするかもしれません。

他のタイプのフィッシング攻撃と比較して、Eメールスプーフィングはターゲットが絞られており、構造も発達しています：

「誰をターゲットにするか？コンテンツはどうすべきか？そして、どのアクションがコンバージョンの確率が高いのか？"

このような詳細が記載されたメールは、開封されたりフィッシングされたりする可能性が高くなります。

メールフィッシングを防ぐには これらの攻撃を防ぐ最善の方法は、送信者のメールアドレスを注意深く読むことです。メールアドレスの文字がよくわからない場合は、コピーしてメモ帳に貼り付け、数字や特殊文字が使われていないかチェックしましょう。また、Gmailやで設定することもできます。

集団フィッシング攻撃は、ブランドの嗜好、人口統計、選択に基づいて、何らかの共通の関心を持つ人々のグループに送信される電子メールです。

集団フィッシング攻撃では、潜在的な被害者に送信されるメールは、領収書、支払督促、ギフトカードなどの取引メールのクローンです。

以下は、シティバンクの顧客をターゲットにしたブランドなりすましの例です。

フィッシング詐欺師が大量攻撃の武器としてブランドを利用するのは、そのブランドが標的となる被害者の間で多くの信頼を得ているからです。

集団フィッシングを防ぐには？受信したメールの「宛先」欄や「cc」欄に自分がマークされているかどうかを確認しましょう。宛先が不明なメールに返信するのは避けましょう。

URLフィッシング攻撃では、詐欺師はフィッシング・ページのURLを使ってターゲットに感染させます。

これは開封率が高いからです：

見知らぬ人から送られてきたリンクをクリックするほど、人々は「社交的」なのです、

DMリンクやEメール通知など、友達申請やメッセージを受け付ける準備が整っています。

Eメールや連絡先の詳細まで教えてくれます。

フィッシングの餌で人を引っかける一つの方法は、隠れたリンクを使うことです。私たちは皆、"CLICK HERE"（ここをクリック）、"DOWNLOAD NOW"（今すぐダウンロード）、"SUBSCRIBE"（購読する）というアクションフレーズのメールを受け取ったことがあります。

これらは、詐欺師がフィッシング攻撃を仕掛けやすくする隠しリンクの例です。

上記の例では、フィッシャーは「Wells Fargo」の名前で電子メールを送信し、顧客に隠されたコールトゥアクションのリンクをクリックしてサービスオファーを確認するよう求めていました：「ここをクリック" - 攻撃者のページに直接つながります。

フィッシングリンクを隠すもう一つの方法は、TinyURLのようなリンク短縮ツールを使ってURLを短くし、本物らしく見せることです。

フィッシャーは、小さなURLの代わりに、スペルミスのURLも使用します。

ハッカーは、人気のあるウェブサイトに似たドメインを購入します。

その後、同一のウェブサイトを作成し、個人情報を送信してログインするようユーザーに求めます。

下の例では、リンクにタイプミスがあることがわかります：www.citiibank.com...」ではなく、「www.citibank.com..."ではありません。

同形異義語攻撃は、誤読されやすい類似した単語、文字、またはその組み合わせを使用します。

この例では、オファーは本物だと思うかもしれませんが、リンクをクリックすると、「amazon.com」ではなく、攻撃者のものである「arnazon.com」にリダイレクトされます。

攻撃者のサイトにアクセスすると、偽のページにログイン情報やクレジットカード情報などの個人を特定できる情報を入力するよう促されます。

添付のリンクにカーソルを合わせてください。完全なリンクがノートパソコンの画面に表示されます。リンクが異なっていたり、偽物と思われる場合は、クリックしないでください！モバイルデバイスの場合は、リンクの上にカーソルを置くと、添付されたリンクがポップアップウィンドウとして表示され、アクション可能なオプションが表示されます。

この種のフィッシング詐欺は、技術的な知識のない人をターゲットにしています。

詐欺師は、ドメインとサブドメインの違いを理解していないことを悪用し、フィッシング攻撃を仕掛けてきます。

サブドメイン攻撃とは何ですか？

あなたが所属する組織www.organizationname.comまたは同僚のメールIDcolleaguename@gmail.com.からメールを受け取ったとします。

メールには、緊急レポートを作成するため、指定されたリンクwww.organizationname.support.comをクリックし、データにアクセスするためにログインするよう指示されています。

リンクをクリックすると、あなたの認証情報が危険にさらされることになります！

送信者のドメインが「linkedin.example.com」であることがわかります。これは、exampleドメインの下にlinkedinというサブドメインがあることを意味します。

なぜサブドメイン攻撃は発見が難しいのでしょうか？

誰でも有名なドメインをサブドメインとして使えるからです。

ほとんどの人は、ドメインとサブドメインの違いを知らないかもしれません。

サブドメインのフィッシング攻撃を防ぐには？

未知の送信者からの添付リンクをクリックする前に、ドメイン名をよく読んでください。  そして、ドメイン名は常に右から左へ読むことを忘れないでください。

ポップアップ・メッセージは、フィッシング・キャンペーンを成功させる最も簡単な方法です。

攻撃者は、ポップアップメッセージを通じて、偽のウェブサイトにリダイレクトさせることで、ログイン認証情報を盗むためのウィンドウを取得します。このフィッシングのテクニックは、"セッション内フィッシング "とも呼ばれています。

以下のポップアップウィンドウをご覧ください。

この例では、前景のポップアップが顧客を惑わすのに十分合法的に見えませんか？

セッション内フィッシングを防ぐには？

現在のところ、ブラウザの拡張機能やさまざまなアプリストアの設定で利用できるポップアップブロッカーが唯一の予防策です。もしあなたのデータが非常に重要なものであるならば、あらゆる種類のデータセキュリティ侵害を防ぐために、これらの脅威を一発でブロックするセキュリティソフトウェアを選ぶべきです。

フィッシング詐欺師は、特定のキーワードに最適化した有料キャンペーンを実施し、フィッシング詐欺を仕掛けます。

これは完全に合法的に見えるよく練られた攻撃です。

フィッシャーは、「限定オファー」を餌に偽のウェブサイトを作成します！

このような偽サイトに出くわすと、ユーザーは騙されて情報を共有し、オファーを要求します。

下の例では、広告に「フルバージョン＆100％無料！」と書かれています。

同様の例を以下に示します。「ブロックチェーン」の検索結果では、偽のウェブページが検索結果のトップに表示されています。

この例では、何のオファーも述べていませんが、「公式サイト」であると主張することで、ユーザーの信頼を狙います。

SEOフィッシングを防ぐには検索エンジンからの攻撃を避ける最善の方法は、有料検索結果のセクションに表示される広告を避けることです。また、URLがわかっている場合は、可能な限りそのURLを入力するようにしてください。

ウェブサイトのなりすましは、電子メールのなりすましと似ていますが、攻撃者がより多くの労力を費やす必要があります。

ウェブサイト偽装はどのように行われますか？

フィッシャーは、正規のウェブサイトのデザイン、コンテンツ、ユーザーインターフェイスをコピーしてウェブサイトを公開します。

また、一部の詐欺師はURL短縮ツールを使って、偽サイトに似たURLを作成します。

以下は、バンク・オブ・アメリカのウェブサイトを模倣したウェブサイト偽装攻撃の例です：

どこからかリンクをコピー＆ペーストするのではなく、自分でリンク全体を入力するのが常にベストプラクティスです。

Webサイトのなりすまし攻撃を防ぐには SysCloudのPhishing Protectionのようなサードパーティ製のツールは、あらゆる種類のなりすまし攻撃から可能な限り最高のセキュリティを提供します。そのサービスの一環として、疑わしいウェブサイトはすべてブロックされるだけでなく、ユーザーにも報告されます。

スクリプティングまたはクロスサイト・スクリプティング（XSS）は、電子メールを媒体として被害者のコンピュータや携帯電話に悪意のあるスクリプトを展開します。

ほとんどのウェブページはJavaScriptを使ってスクリプト化されているため、ハッカーがスクリプト攻撃を仕掛けるのは簡単です。

ハッカーは、ソーシャル・エンジニアリングによって特定された、定期的に訪問している正規のウェブサイトのスクリプトに感染させ、フィッシング・ページにリダイレクトさせます。

ブラウザがフィッシング・ページを読み込むと、悪意のあるスクリプトが実行され、被害者が気づかないうちに攻撃が行われます。

Googleで「色」を検索したときの通常のスクリプトの動作を示します。  

これは、Google検索エンジンが返すページに検索パラメータ「q」の値が挿入されることを意味します。

例えば、詐欺師が、このURLがブラウザに読み込まれたときの動作を変更するスクリプトを作成したとしましょう。

ブラウザはGoogleの検索結果ページを実行します。

このスクリプトを使用すると、「colors」の検索結果を表示するフラグメントが以下のように変わります：

このページをロードすると、ブラウザは XSSphish_script() を実行します。

クロスサイトスクリプティング攻撃を防ぐには？

XSS保護機能を内蔵したブラウザを使用してください。

ブラウザとセキュリティ・アプリケーションの最新バージョンのチェック

NoScript」のようなブラウザのアドオンを使って、スクリプトの許可を許可するか拒否するかを選択できます。

Man-in-the-Middle- MITM、MitM、MiM、または MIM - 攻撃では、悪意のあるアクターは、2 つの当事者間のオンライン対話を傍受します。

ハッカーは、取引、会話、その他のデータなどの機密情報にアクセスするために、双方になりすまします。

金融ウェブサイト：ログインと認証の間

公開鍵または秘密鍵で保護された会話/接続

MITMは2つの主要なスプーフィング実行テクニックを使用します：ARPスプーフィングとDNSスプーフィングです。

1.ARPスプーフィング：ARP スプーフィングとは、悪意のある行為者がローカルエリアネットワーク上で偽の ARP (アドレス解決プロトコル) メッセージを送信する攻撃です。これにより、攻撃者の MAC (マシンアドレス) アドレスがネットワーク上の正当なコンピューターやサーバーの IP アドレスにリンクされます。

2.DNSスプーフィング：ドメインネームシステム(DNS)スプーフィングまたはDNSキャッシュポイズニングは、リゾルバキャッシュ内のDNSデータを破損し、ネームサーバが不正な結果レコードを返すようにするハッキングの一形態です。

考えられるMITM攻撃のシナリオを以下に示します：

MiTMフィッシング攻撃を防ぐには？中間者攻撃を防ぐ唯一の方法は、オンラインデータを暗号化することです。S/MIME暗号化を使用することで、サイバー犯罪者による悪用からデータを保護することができます。また、サードパーティツールを使用してデータを暗号化することもできます。

クローンフィッシング攻撃では、リンクや添付ファイルを含む以前に送信されたメールが、ほぼ同じ、またはクローンメールを作成するための真のコピーとして使用されます。

詐欺師は、メール内のリンクや添付ファイルを悪意のあるリンクや添付ファイルに置き換えます。

クローン化されたメールは、被害者の受信トレイから連絡先に転送されます。

クローンメールの受信者は、それを正当なメールと思い込み、悪意のあるリンクをクリックします。

クローンフィッシング攻撃が有害であるのには大きな理由があります：被害者はそのメールを決して疑うことはありません。

クローンフィッシングを防ぐには？

送信者の電子メールを確認してください。

メール内のリンクにカーソルを合わせると、クリックする前にランディングページが表示されます。

Eメールとその送信元と思われる組織を追跡調査してください。

フィッシング対策団体にメールを報告

あなたの興味に応じた画像を含む電子メールを受信している場合は、注意してください！

フィッシング攻撃の可能性があります。

攻撃者は、画像やその他のメディア形式を使用して、バッチファイルやウイルスを配信します。

メールにフィッシング画像を埋め込む方法は2つあります：

1.画像をURLに直接リンクし、大量メール攻撃として被害者に送信します。

2.エンコードされた画像(.jpeg)や、曲(.mp3)、ビデオ(.mp4)、GIFファイル(.gif)などのメディアファイルを使用します。このタイプの攻撃では、ハッカーはバッチファイル(.bat)やウイルスを画像に埋め込み、被害者に添付ファイルとして送信します。

被害者が画像をダウンロードすると、バッチファイル（ウイルス）がダウンロードされ、パソコンや携帯電話に感染します。

Kaspersky Lab は、以下の画像に示すように、PNG（Portable Network Graphics）フィッシングに関するレポートを発表しました。

この攻撃により、ユーザーは悪意のあるJava ARchive (JAR)をダウンロードさせられ、ウイルスもダウンロードされました。

ボイスフィッシングまたはヴィッシング攻撃では、メッセージは潜在的な被害者に口頭で伝えられます。

テクノロジーを使わないとはいえ、これは最も巧妙なフィッシングのひとつです！

BBCが報じた、エマ・ワトソン（実業家）が（詐欺）銀行アラートの名目で騙された詐欺事件。

エマ・ワトソンが銀行から電話を受け、彼女の口座で異常な取引が確認されたとのこと。

お金を守るために、彼女は新しく作った口座に全額を振り込むよう要求されました。

彼らはとてもプロフェッショナルで、私の名前を知っていて、私の名前で話しかけてくれたので、彼らを疑うことはありませんでした。

「彼らは銀行に連絡用に与えられた固定電話の番号に電話をかけてきました。また、彼らは銀行用語を使いました。

エマは、彼女に伝えられた口座に10万ポンドを送金していました。

音声フィッシング攻撃を防ぐには これらの攻撃からのセキュリティと予防は、完全に被害者に依存しています。もし被害者がそのような攻撃に気づき、そのような電話に対して行動すべきかどうかを知っていれば、それを防ぐことができます。

CEO詐欺（ビジネスメールの漏洩）は、サイバー詐欺師が従業員を騙して不正送金を実行させたり、機密情報を開示させたりする捕鯨攻撃の一部です。

2016年4月4日、FBIはこれらのCEO詐欺に対して警告を発し、"確認された被害者と暴露された損失は270%増加している "と述べました。被害総額は約23億ドルで、平均被害額は約5万ドルでした。

システム管理者のための、行動に移せる分析方法やTIPS・ベストプラクティクスを掲載しております。

SaaSデータ保護ポータル

スパムメールは送信しません。いつでも簡単に登録解除が可能です。

SaaSデータとセキュリティに関するノウハウをお送りします。

IT管理者が注意すべき14種類のフィッシング攻撃

追跡を削除するには、ブラウザから Cookie を削除する必要があることを承知しています。

これらのクッキーは、ウェブサイトの機能強化やパーソナライズを可能にします。これらのクッキーは、当社または当社のページにサービスを追加している第三者プロバイダーによって設定される場合があります。これらのクッキーを許可しない場合、拡張機能とパーソナライゼーションは利用できません。

ブラウザから Cookie を削除して、追跡を完全に削除してください。方法については、ここをクリックしてください。

ソーシャルメディアに関するCookie

ソーシャルメディアに関するCookieは、当サイト上で提供されるさまざまな第三者のソーシャルメディアサービスによって設定されます。これらのサービスは当サイトに追加され、お客さまが当社のコンテンツを友人やネットワークと共有できるようにするために使用されます。また、これらのCookieによって他サイトを跨いでお客さまの興味が把握され、お客さまが訪れる他のウェブサイトで閲覧するコンテンツやメッセージに影響を与える可能性があります。これらのCookieを許可しない場合、ソーシャルメディアの共有ツールが利用または表示できなくなることがあります。

必須Cookieは当ウェブサイトが適切に機能する上で必要とされ、訪問者の数やトラフィックを分析することで、ウェブサイトのパフォーマンスを測定し、向上させる助けとなります。これらのCookieは、お客さまが行うプライバシー設定の変更やログイン、フォームへの入力など、リクエストに基づいて当社や第三者プロバイダーによって設定されることがあります。必須Cookieによって収集される情報はすべて集計され、匿名化されます。

このウェブサイトはCookieを使用しています。

当社は、コンテンツと広告をパーソナライズするため、ソーシャルメディア機能を提供するため、およびトラフィックを分析するためにCookieを使用しています。また、お客様が当サイトを利用される情報を、ソーシャルメディア、広告、アナリティクスパートナーと共有し、これによりパートナーがお客様から提供された他の情報や、パートナーのサービスの利用から収集された情報と組み合わせることがあります。

個人情報の取り扱いについては、プライバシーポリシーをご覧ください。

広告に関するCookieは当サイトを通じて広告パートナーによって設定され、お客さまにとって関連性の高い広告を配信するために使用されます。これらのCookieは、お客さまのブラウザとデバイスを一意に識別することに基づいています。Cookieを無効にすると、ターゲット広告が表示されなくなりますが、一般的な広告は引き続き表示される可能性があります。

Cookie（クッキー）の利用に同意しますか？

IT管理者が注意すべき14種類のフィッシング攻撃

フィッシングの始まり

1990: アルゴリズムに基づくフィッシング

2000:電子メールによるフィッシング

2003:ドメイン・スプーフィング

2018:HTTPSを利用したフィッシング

フィッシングとは？

フィッシングの5つのカテゴリー

1.ビッシング

2.スミッシング

3.検索エンジンフィッシング

4.スピアフィッシング

5.捕鯨

フィッシング攻撃の種類

1.なりすましメール

2.マスターゲット - ブランド偽装

3.URLフィッシング

隠しリンク

小さなURL

URLのスペルミス

ホモグラフ攻撃

4.サブドメイン攻撃

5.ポップアップメッセージセッション内フィッシング

6.検索エンジン攻撃

7.ウェブサイトのなりすまし

8.スクリプト

9.中間者攻撃

10.クローンフィッシング

11.画像フィッシング

12.音声フィッシング攻撃

13.CEOの不正

14.マルウェア・インジェクション

トロージャンズ

ウイルス

ミミズ

ランサムウェア

スパイウェア