朝、眠くてたまらない気分で目を覚ますと、一見見慣れたソースから緊急の電子メールを受け取り、あまり考えずに、クリックしてはいけないリンクをクリックします。時にはそれは非常に単純なことであり、この30年以上の歴史のあるフィッシング手法は、個人の銀行口座やソーシャルメディアに侵入し、家族や友人をだますこともあれば、会社でシステムやデータの漏洩、サービスの停止など、あらゆる事態を引き起こす可能性があります。「フィッシング攻撃で最もなりすましの多いブランドトップ50」の投稿に続いて、フィッシング攻撃に遭う前に捕まえるためのヒントをいくつかご紹介します。
私たちは皆、人間であり、悪意のある電子メールに反応したり、対話したりすることは、依然として組織を侵害する主な方法です。CISAによると、サイバー攻撃の90%はフィッシングメールで始まり、ビジネスメール詐欺(BEC)として知られる同様のタイプのフィッシング攻撃による損失は、組織が直面する430億ドルの問題であるとされています。ひとつ言えることは、AIチャットボットのような新しいツールや、さまざまなコミュニケーションアプリ(Teams、Google Chat、Slack、LinkedInなど)の利用拡大により、フィッシング攻撃は日々巧妙になってきているということです。
フィッシングとは?どこから始まるのか(ハッカーの足音)
簡単なことのように思えますが、簡単な言葉で皆に注意を喚起するのは常に良いことです。メールフィッシングとは、攻撃者が説得力のあるメールやリンクなど様々な種類の餌を使って被害者を騙し、機密情報の提供やマルウェアのダウンロードをさせる詐欺的な手法のことです。攻撃者が一度だけでよいので囮となり被害者がリンクをクリックすれば、攻撃者はさらなる攻撃の足がかりを得たことになり、壊滅的な結果を招く可能性があります。一般的な「フィッシング」であれば、誰でも騙される可能性がありますが、このような攻撃は、被害者に関する特定の情報を使って、単一のターゲットに集中的に行われることもあり、スピアフィッシングと呼ばれています。
最近のフィッシングの例としては、RedditをターゲットにしたTwilioがあり、Cloudflareは同時期に同様の攻撃を受けました。この点については、こちらでご説明します:「高度なフィッシング攻撃の仕組みとその防止方法」。Cloudflare One製品を弊社自身で使用しているおかげで、このようなことが起こりました。時に、従業員の自宅のパソコンがターゲットとなり、数週間後に大規模な情報漏洩が発生した場合、ハッカーがドアを開けるきっかけになるケースもあります。
覚えておくべきいくつかのアラートには、フィッシング攻撃がさまざまなセクターの個人や組織を標的にしているという英国の国家サイバーセキュリティセンター(NCSC)が含まれます。ホワイトハウスの国家サイバーセキュリティ戦略(Cloudflareはその準備ができています)もこれらのリスクを強調しています。ドイツ、日本、オーストラリアも同様のアプローチに取り組んでいます。
早速ですが、フィッシング攻撃から身を守るためのヒントをご紹介します。
オンラインを安全に過ごすためのヒント。フィッシング詐欺に遭わないために
****クリック作戦はやめましょう。****銀行や国税庁などの政府機関からメールが届いたら、メール内のリンクをクリックするのではなく、直接ウェブサイトそのものにアクセスしてください。
****送信者のメールアドレスのスペルミスや変な文字に注意しましょう。****フィッシング攻撃の試みは、類似したドメインや"from"メールを使ってクリックを促すことが多いです。よくある手口は、余分な文字やすり替えられた文字(microsogft[.]com)、省略(microsft[.]com)や、似ている文字(oと0の文字、micr0soft[.]com)などです。
Chaseを信頼できるルアーとして使用した、典型的なブランドなりすましフィッシュを紹介します。
本文中のリンクはChaseのドメインのように見えますが、クリックすると実際にはSendGridのURL(メール配信プラットフォームとして知られている)が開きます。そして、Chaseになりすましたフィッシングサイトにリダイレクトされます。
****"アカウントのロック解除"や"支払い情報の更新"などのリンクをクリックする前に考えてみてください。****テクノロジーサービスは、電子メール、オンラインストレージ、ソーシャルメディアのアカウントにある個人情報のため、フィッシングキャンペーンに利用される業種の上位にランクインしています。リンクにカーソルを合わせ、見慣れたURLであることを確認してからクリックします。
****金融関連のメッセージには要注意です。****金融機関はフィッシングに遭う可能性が最も高い業界なので、支払いに応じるかどうかを尋ねるメッセージは一旦停止して評価しましょう。
緊急性を感じさせるメッセージに注意しましょう。「荷物を受け取る最後のチャンス」、「アカウントを確認する最後のチャンス」などと警告するEメールやテキストメッセージは、偽物の可能性が高いです。パンデミック時のオンラインショッピングの増加により、小売業や物流・運送業はこの種のフィッシングの標的になっています。
金融詐欺と荷物配送詐欺のどちらも、一般的にSMSフィッシング攻撃、またはスミッシングを使用しており、攻撃者がSMSメッセージを使用して被害者をおびき寄せることに関連しています。Cloudflareは、(無事阻止されましたが)数ヶ月前にこの種のフィッシングの標的にされました。以下に、その阻止された攻撃からのテキストメッセージの例をご紹介します。
もし、物事があまりにも良く聞こえるとしたら、それはおそらく真実でしょう。無料プレゼントの"期間限定オファー"、限定サービス、ハワイやモルディブへの旅行などのお得なキャンペーンにご注意ください。フィッシングメールは、私たちの満足感、喜び、興奮などの感覚を狙い、よく考えずに瞬時に判断させるものです。このような手口は、ユーザーがリンクをクリックしたり、機密情報を提供したりすることを誘い出すものです。数秒でもいいから間を置いて、他の人が同じようなオファーを受けていないかどうか、すぐにネットで調べてみてください。
**非常に重要なメッセージ...**フィッシングメールは、高位の人物を模倣し、送金や認証情報の共有など、緊急の行動を促すことがあります。このような要求のある電子メールを精査し、その真偽を確認しましょう。送信者が社長の場合は、上司に連絡します。慣れない政治家に対しては、依頼の実現可能性を見極めてから対応します。
メッセージ本文はエラーだらけである(ただし、AIツールに注意)。文法や綴りの間違い、おかしな構文は、メールが信頼できるソースからのものでないことを物語っています。とはいえ、最近のAIテキストツールは、ハッカーや悪質な業者が、説得力のある間違いのないコピーを作成することを容易にしています。
ロマンス詐欺メール。これは、詐欺師が被害者の愛情や信頼を得るために、偽のオンラインIDを採用するメールです。また、誤送信されたように見えるメールを送り、受信者に返信を促し、詐欺師との会話を開始させることもあります。このような手口は、被害者をおびき寄せるために使われます。
**パスワードマネージャーを使用する。**パスワードマネージャーは、ドメイン名が期待するものと一致するかどうかを確認し、間違ったドメイン名でパスワードを記入しようとすると警告を発します。
フィッシングメールの可能性をさらに精査したい場合は、ラーニングセンターで、SPF、DKIM、DMARCなどの標準的な認証方式を通過しないメールに何が起こるかを理解することができます。
最もなりすましの多いブランドトップ50の他にCloudflare関連のトレンドは、Cloudflare Area 1からのものです。2022年、電子メール保護に焦点を当てた当社のサービスは、23億件の不要なメッセージを特定し、お客様の受信トレイから排除しました。平均すると、1日あたり630万通のメッセージをブロックしています。これは、このようなブログ記事を読むのにかかる時間である10分ごとに、ほぼ44,000通をブロックしていることになります。
一般的に、最も利用されている電子メールの脅威の種類(当社のArea 1 2023年1月のデータを参照)は、ID詐欺、悪意のあるリンク、ブランド偽装、悪意のある添付ファイル、詐欺、強要、アカウント侵害です。また、ボイスフィッシングもあります。
ボイスフィッシング(ビッシングとも呼ばれる)もよくある脅威で、電話を通じて機密情報を共有するよう人をだます行為に関連しています。被害者は、税務当局、雇用主、利用する航空会社など、信頼できる団体と話をしていると思い込まされます。こちらでは、音声フィッシングから自分自身や会社を守る方法について詳しく説明しています。
また、水飲み場攻撃は、ハッカーが標的の組織内のユーザーが頻繁に利用するウェブサイトを特定し、そのウェブサイトを侵害し、マルウェアを配布する攻撃もある。これらは、しばしばサプライチェーンエクスプロイトに関連しています。
次に、いわゆるベンダーインボイス詐欺でメールアカウントをハッキングされた実際のベンダーから届いたフィッシングメールの例を紹介します。
最後に、クラウドメールアカウントを使用して、ターゲットとなる従業員のカレンダーに偽の招待状を送りつけるカレンダーフィッシングの例を挙げます。これらは、Cloudflare Zero Trustの製品で検知・回避が可能です。
フィッシング攻撃に対するセーフティネットとしてのメールリンク分離アプローチ
最近CIO Weekと書いたように、たとえ訓練されたユーザーが良いリンクを悪いリンクと間違えたとしても、セーフティネットの可能性もあります。Cloudflareブラウザ分離サービス、メールリンク分離は、Cloudflareのクラウドメールセキュリティをメールだけではないフィッシング攻撃からの保護に関して、最も包括的なソリューションに変えるものです。悪用される可能性のあるリンクを書き換えて分離し、ユーザーが訪問しようとしているウェブサイトの不確実性を警告することで警戒心を維持し、マルウェアや脆弱性から保護することができます。また、Cloudflareらしく、ワンクリックで導入が可能です。詳しくは、関連するブログ記事をご覧ください。
とはいえ、すべての悪質なリンクがメールから来るわけではありません。インスタントメッセージやその他のコミュニケーションツール(Slack、iMessage、Facebook、Instagram、WhatsAppなど)を介して来るかもしれない悪意のあるリンクが心配な場合は、Zero Trustおよびリモートブラウザ分離が効果的な方法です。
結論:念には念を入れた方がいい
これまで見てきたように、電子メールは最もユビキタスなツールの1つであり、またビジネスで毎日使う最も悪用されるツールでもあります。電子メール内の悪意のあるリンクをユーザーにクリックするように仕向けることは、最も高度な犯罪組織から最も経験の少ない攻撃者まで、悪意のある行為者の大多数の戦術として長年に渡って使用されています。だからこそ、オンラインでは次のことを覚えておいてください。
用心すること。準備すること。安全であること。
メールセキュリティについてもっと知りたい方は、ラーニングセンターをご覧いただくか、企業を対象とした無料のフィッシングリスク評価を受けるため、当社までお問い合わせください。