攻撃と脅威
フィッシング
別称: メールフィッシング, 大量フィッシング
定義
信頼できる組織になりすまし、被害者から認証情報を取得したり送金させたり、マルウェアを実行させたりするソーシャルエンジニアリング攻撃。
フィッシングは、正規の組織から送信されたかのように見せかけた詐欺的なコミュニケーションで、通常は電子メール、また SMS・電話・チャットなど多様なチャネルで行われます。攻撃者の目的は、受信者を誘導してパスワード・決済情報・多要素認証コードなどの機密情報を開示させたり、送金を承認させたり、悪意のある添付ファイルやリンクを実行させたりすることです。フィッシングは現代の侵害における最も一般的な初期侵入経路であり、ソフトウェアの欠陥ではなく人間の判断を狙うため対策が難しい点が特徴です。対策は、DMARC・SPF・DKIM・アンチフィッシングゲートウェイ・ブラウザ警告・FIDO2 キーなどの技術的統制と、ユーザー教育および迅速なインシデント対応プロセスの組み合わせが基本となります。
例
- 「Microsoft 365 パスワードのリセット」を装ったメールが、認証情報を盗む偽サイトへ誘導する。
- 請求書を装った添付ファイルを開くとバンキングトロイの木馬が感染する。
関連用語
スピアフィッシング
事前に収集した個人情報や業務情報をもとに、特定の個人や組織に合わせて作り込まれた標的型フィッシング攻撃。
ホエーリング攻撃
経営幹部などの高価値ターゲットを狙うスピアフィッシング攻撃。多くは多額の不正送金や戦略情報の取得を目的とする。
スミッシング
SMS など携帯端末向けメッセージを用いたフィッシング攻撃。悪意あるリンクのクリックや偽番号への発信、情報の入力を促す。
ビッシング
電話や VoIP など音声経路を利用したフィッシング攻撃。被害者から認証情報・送金・リモートアクセス権を引き出す。
ビジネスメール詐欺
攻撃者が企業メールボックスを偽装または乗っ取り、従業員に送金、振込先変更、機密情報送付などを行わせる標的型詐欺。
ソーシャルエンジニアリング
心理的な操作によって人を欺き、攻撃者に有利な行動を取らせたり機密情報を引き出したりする攻撃の総称。