フィッシング
概要
フィッシング(Phishing)は、信頼できる機関や個人を装い、電子メール、SMS、電話、偽のウェブサイトなどを通じてユーザーの個人情報(パスワード、クレジットカード番号、口座情報など)を奪取するサイバー攻撃の一種です。「パスワード(Password)」と「釣り(Fishing)」の合成語で、1990年代半ばに初めて登場して以来、継続的に進化し、世界的に深刻なセキュリティ脅威となっています。フィッシングは、ソーシャルエンジニアリング手法を活用して人間の心理的脆弱性を攻撃する点で技術的ハッキングとは異なり、ランサムウェアやビジネスメール詐欺(BEC)などの二次攻撃の侵入口としても悪用されます。
主な内容
フィッシングの種類
- メールフィッシング: 最も伝統的な形態で、銀行、政府機関、大手IT企業などを装ったメールを大量送信し、偽のログインページに誘導します。最近では、送信者アドレスを偽装したり、公式ドメインに類似したドメインを使用するスプーフィング手法がよく使われます。
- スミッシング(Smishing): SMSを利用したフィッシングで、宅配便、コロナワクチン接種、金融詐欺通知などを装ったリンクをクリックさせます。モバイル環境で急速に拡散し、悪意のあるアプリのインストールを誘導するケースも多く見られます。
- ボイスフィッシング(Vishing): 電話を利用したフィッシングで、金融機関職員や警察、検察を装い、口座振替や個人情報の提供を要求します。最近では、AI音声合成技術を利用して知人や上司の声を複製した事例も報告されています。
- スピアフィッシング(Spear Phishing): 特定の個人や組織を標的にした巧妙な攻撃で、攻撃者は対象のSNS、会社のホームページ、ニュースなどを事前調査し、カスタマイズされたメッセージを作成します。CEOを装ったメール(BEC)が代表的です。
- ホエーリング(Whaling): 高級役員や有名人を対象にしたスピアフィッシングのサブタイプで、大規模な金銭的利益や機密情報の奪取を目的とします。
- クローンフィッシング(Clone Phishing): ユーザーが以前に受信した正規のメールを複製し、リンクや添付ファイルのみを悪意のあるものに差し替えて再送信する手法です。
フィッシング攻撃の典型的なプロセス
1. 情報収集: 攻撃者は対象機関のロゴ、文言、メール形式などを収集したり、SNSやデータ漏洩情報を通じて個人情報を入手します。
2. なりすましメッセージの作成: 収集した情報を基に、信頼できる送信者のように見えるメールやSMSを作成します。緊急性(アカウント停止、セキュリティ警告)や好奇心(当選、景品)を誘う内容が主です。
3. 誘引とクリック誘導: 偽のリンクや悪意のある添付ファイルを含め、ユーザーがクリックするように誘導します。リンクは実際のドメインに類似した変形ドメイン(例: go0gle.com)を使用したり、URL短縮サービスを利用します。
4. 情報奪取: 偽のログインページで入力された認証情報を収集したり、マルウェアをインストールして追加情報を引き出します。
5. 二次攻撃: 奪取した情報を利用して金融詐欺、アカウント乗っ取り、ランサムウェアの拡散、追加のフィッシング攻撃などを行います。
被害事例と影響
- 金銭的損失: FBIインターネット犯罪報告センター(IC3)によると、2023年に米国だけでフィッシング関連の被害額は100億ドルを超えました。韓国国内でもボイスフィッシングの被害額は年間数千億ウォンに達します。
- データ漏洩: 企業の場合、顧客データベース、知的財産権、営業秘密などが漏洩し、多大な評判損失と法的責任が発生します。
- ランサムウェア感染: フィッシングメールを通じて拡散されたランサムウェアは、2024年の全ランサムウェア感染の70%以上を占める主要な経路です。
- 政治的・社会的影響: 選挙期間中に政治家や政党を装ったフィッシング攻撃により、世論操作や内部文書の漏洩が発生することもあります。
予防および対応方法
- 個人レベル: 不審なメールやSMS内のリンクをクリックしない、送信者アドレスとドメインを確認する、2段階認証(2FA)を有効にする、定期的にパスワードを変更する、ウイルス対策ソフトウェアをインストールし更新を維持する。
- 組織レベル: 定期的なセキュリティ教育と模擬フィッシング訓練の実施、メールフィルタリングおよびスパム対策ソリューションの導入、DMARC/DKIM/SPFなどのメール認証プロトコルの適用、異常検知システム(IDS)の構築、インシデント対応計画の策定。
- 技術的対策: AIベースのフィッシング検知システム、URLレピュテーション分析、行動ベース分析、サンドボックス技術を活用した添付ファイル検査。
- 報告および対応: フィッシング被害に遭った場合、直ちに関係機関(銀行、カード会社)に連絡してアカウントを停止し、金融監督院や警察庁サイバー捜査隊に通報し、パスワード変更やアカウント復旧手続きを実施する。
最新動向
2024~2025年のフィッシング攻撃は、生成AI技術の発展によりさらに巧妙化しています。AIが生成した完璧な文法のメール、パーソナライズされたメッセージ、ディープフェイク音声や映像がボイスフィッシングに利用され、従来の文法エラーや不自然な表現で識別する方法が無力化されています。また、QRコードを利用した「クイッシング(Quishing)」が急増し、レストランのメニューや駐車案内など日常的なQRコードを通じて悪質サイトに誘導する事例が増えています。クラウドサービスやSaaSプラットフォームを標的にしたフィッシングも増加傾向にあり、特にMicrosoft 365やGoogle Workspaceアカウントの乗っ取り試行が頻発しています。これに対応するため、セキュリティ業界はAIベースのリアルタイム検知、行動分析、ゼロトラストアーキテクチャの導入を加速しており、国際協力によるフィッシングサイトの遮断や犯罪組織の掃討作戦も活発に進められています。
関連トピック
- [[ランサムウェア]]
- [[ソーシャルエンジニアリング]]
- [[サイバーセキュリティ]]
- [[ビジネスメール詐欺]]
- [[ディープフェイク]]
- [[2段階認証]]
---
AI自動生成文書 · コミュニティが共に改善します