フィッシングとスミッシングの脅威を探る

フィッシングとスミッシングは、 ユーザーからパスワードやカード情報などの 個人情報を盗み取ることが目的の ソーシャルエンジニアリング攻撃です。 これらの脅威の詳細と 仕組みを見てみましょう。 フィッシングは、1990 年代から 存在する強力な脅威です。 IBM の セキュリティ研究開発機関によると、 フィッシングは 2021 年に 最多の攻撃手法でした。 最もよく見られる手法は、 標的のユーザーに 詐欺メールを送ることです。 受信者がすぐに開くように、 信頼できる機関からの 緊急の連絡を装います。 メール本文には本物のウェブサイトの URL に見せかけた偽のリンクが含まれ、 受信者がクリックすると、 本物そっくりの偽の ウェブサイトに誘導されます。 そこでユーザー名とパスワードを 入力するよう求められ、入力すると、 本物のサイトの認証情報が 攻撃者の手に渡ります。 場合によっては、被害者の情報や資金が 即座に失われることもあります。 メールにリンクではなく、 悪質な添付ファイルが 含まれる場合もあります。 受信者が添付ファイルをクリックすると、 後ほど説明するランサムウェアが インストールされます。 フィッシング攻撃を成功させる鍵の１つは、 信頼できる送信元からのメールに なりすますことです。 なりすましの多いブランドには、 マイクロソフト、Apple、 Google、Chase、 アマゾンなどが挙げられます。 件名には特定のスタイルがあり、 たとえば、よく使われる件名は、 「アカウントがロックされます」、 「重要、アカウントにログインして 情報を確認してください」、 「請求書の支払い期限」などです。 どれも無視されないように 緊急性や重要性を装っています。 スピアフィッシングは フィッシングの一種で、 親しみを持たせるやり取りで 特定のユーザーの警戒を 緩めるメール攻撃です。 スミッシングはフィッシングと よく似ていますが、 攻撃者は詐欺メールではなく、 ショートメッセージを送信します。 メッセージは銀行からの 緊急の連絡を装った内容が多く、 不審なアクティビティにより アカウントがロックされたとか、 最近の支払いについて確認が必要だ、 といったものです。 悪質なサイトへのリンクが含まれ、 オンラインバンキングの認証情報を 盗み取ろうとします。 ほかにも、懸賞に当選したので サイトで引き換える必要がある、 という内容の場合もあります。 無料で何かが手に入るという テキストメッセージはすぐに疑うべきです。 会社の上司や CEO など、 一緒に働く人になりすますメッセージも あります。 攻撃者にとって、あなたの会社と 携帯電話番号を見つけることは簡単です。 上司や CEO になりすまし、 仕事を依頼するメッセージを送ります。 依頼内容は、従業員やクライアントに贈る ギフトカードの購入などです。 あなたがカードを購入すると、 攻撃者はコードを送るように指示し、 カードからすぐに資金を引き出します。 フィッシング攻撃もスミッシング攻撃も 安価で簡単なうえに効果があるため、 今後もよく見られる攻撃の １つであり続けるでしょう。