フィッシング攻撃とは、本物の配達業者や企業からのメールを装い、利用価値のある情報を詐取しようとするサイバー犯罪です。近年その手口は、ますます巧妙化し誰もが被害者になる可能性があります。

では、フィッシング攻撃にはどんな手口や種類があるのでしょうか。代表的なものを解説します。

フィッシング攻撃は、偽のメールやWEBサイトを駆使しユーザーを騙す詐欺行為です。個人情報や企業の機密情報を漏洩させようと誘ってきます。

フィッシング攻撃の手口で代表的なものは、次の通りです。

どのような手法なのか、それぞれ解説していきます。

アカウント削除詐欺とは、攻撃対象者の重要なアカウントが削除されてしまうと信じ込ませ、ログイン情報などの重要な情報を詐取する詐欺です。攻撃を受けた被害者は、焦燥感や切迫感に煽られ、偽サイトにログイン情報や個人情報を入力してしまいます。

攻撃側は、銀行などの金融系やECサイトの会社を装い、偽の通知を送信し、被害者を騙します。偽の通知に記載されたURL先のサイトが本物に酷似しているケースがあり、被害者は騙されてしまいます。

ナイジェリア詐欺とは、手紙や電子メール、FAXを利用して、攻撃対象者の金銭を騙し取る詐欺です。「ナイジェリアの手紙」とも呼称され、1980年代から存在します。

攻撃側は、非常に厳しい貧困国に住んでいると、自らの窮状を訴えてきます。ナイジェリアの元王子、政府元高官などを名乗り、攻撃対象者へ連絡してきます。そして秘密裏に確保した大金を持ち出したいから安全な口座に移したい、手伝ってくれたらお礼として大金の一部を渡したい、などと被害者を誘ってきます。

攻撃側は、安全な口座に移すために手数料が必要と説明してきます。被害者は手数料を支払うが、お礼の大金は当然振り込まれてこず、詐欺に気付きます。

Webサイト模造詐欺とは、攻撃対象者が利用する金融系WebサイトやECサイトを本物そっくりに模造し、被害者を騙す詐欺です。Webサイトの模造のみで詐欺行為を行うのではなく、アカウント削除詐欺などと組み合わせるケースが多く見られます。

模造されたWebサイトには、URLのドメインが「jp」になっていないなど、特徴が多数あります。警察庁の公式Webページで「偽サイトの特徴」が分かりやすくまとめられていますので、そちらも併せて確認してもらうと、詐欺に遭う確率を減らせます。

参考：警察庁『「偽サイト」「詐欺サイト」に注意！』

フィッシング攻撃には、様々な種類があります。広く知られているのはメールフィッシングです。その他には、電話やSMS、ソーシャルメディアを活用したフィッシング攻撃が存在します。

フィッシング攻撃の種類にどのようなものがあるのか、その特徴と併せて、説明していきます。

アングラーフィッシングとは、ソーシャルメディア上で企業のアカウントになりすまし、攻撃対象者を騙すフィッシング攻撃です。企業の製品やサービスへ不満を投稿している被害者を分析し、ターゲットを選出します。

攻撃側は、親切な理解ある公式のカスタマーサポートとして近付き、支援のふりをして被害者の個人情報やアカウント情報を聞き出そうと誘導してきます。

ヴィッシングとは、電話を通じて行われるフィッシング攻撃です。音声（Voice）とフィッシング（Phishing）を合わせた造語です。

典型的なケースとしては、SMSを多くの攻撃対象者へ無差別に送信し、折り返しの電話や返事をするよう誘導します。電話のキーパッドからクレジットカードの番号やパスワードを聞き出し、カードの不正利用を図ります。

クローンフィッシングとは、過去に送信された正規のメールを複製し、攻撃対象へ送信して騙すフィッシング攻撃です。正規の送信者である企業の信頼性を傍受し、添付されたファイルやURLを悪意あるものへ変更して、価値ある情報を詐取します。

メールアドレスも模倣したものが使用されるので、被害者は気付かず、個人情報などの入力を行ってしまいます。

スピアフィッシングとは、特定の人やグループへ特定のメッセージを送信し騙すフィッシング攻撃です。スピアフィッシング（魚付き）と呼ばれるように、特定の攻撃対象者へ特化したフィッシング攻撃であり、ターゲットの情報を既に持っているケースが多いです。

受信者の名前や購入情報など詳細が記載されているので、騙されやすく最も効果的なフィッシングであると言われています。攻撃対象者についてパーソナライズされているため、より正当なメッセージに見え、被害者が騙される可能性を高めています。

スミッシングとは、携帯番号へメッセージを届けるSMS（ショートメッセージサービス）を悪用したフィッシング攻撃です。SMSとフィッシング（Phishing）を合わせた造語です。

配送業者になりすますケースが多く見られ、「不在通知」としてメッセージを送信します。攻撃対象者がクリックするように仕向け、スマートフォンの乗っ取りなどを図ります。

ソーシャルメディアフィッシングとは、X（旧Twitter）やInstagram、Facebookなどのソーシャルメディアを利用したフィッシング攻撃です。SNSを利用するユーザー全てが攻撃対象です。

SNS上のダイレクトメッセージを使用して、偽のクーポンや悪質なURLを送信し、攻撃対象者の個人情報やクレジットカード番号などを詐取します。

ファーミングとは、攻撃対象者を騙して価値ある情報を詐取する点で、ただのフィッシング攻撃ですが、攻撃ツールをメールやSMSに依存しない点が特徴のフィッシング攻撃です。

攻撃対象者のPC上で悪意あるコードを実行し、正規サイトへ罠を張り、自動的に偽サイトへリダイレクトさせます。ファーミング（Pharming）は農場経営（Farming）が語源となっていて、事前に種（コード）を蒔いている点が、フィッシングとの大きな違いです。

ホエーリングとは、フィッシング攻撃の一種で、高い社会的地位を持った攻撃対象者を狙ったスピアフィッシング攻撃です。通常のフィッシング攻撃は大勢の対象者を網にかけているイメージに対して、ホエーリングは大きな的に銛を刺すイメージです。

ホエーリングの標的は、ほとんどが企業経営層の上役ばかりです。CEOやCFOなどのトップレベルの重役、代表取締役などが該当します。企業内で何らかの問題が起きていて、税務署や弁護士事務所などから連絡が来るような場面でメッセージを送信します。

メールフィッシングとは、電子メールを利用したフィッシング攻撃です。もっともらしい文面や焦燥感を煽る文面を送信し、悪意あるURLや添付ファイルをクリックさせようとします。

スパムメールを装ったフィッシングメールも多く存在するため、広告と思ったら詐欺サイトで個人情報を盗まれた、という事態になりかねません。身に覚えのないメールには特に注意が必要です。

SEOポイズニングとは、GoogleやYahoo!といった検索エンジンの検索結果上位に、悪質なWEBサイトを表示させ攻撃対象者を騙すフィッシング攻撃です。検索エンジンの上位に表示されているので信用して、悪意あるサイトとは知らずにクリックし、コンピューターウイルスなどの侵入を許してしまいます。

既に表示されている正常なサイトを複製して詐欺サイトを作成する場合もあり、非常に巧妙です。検索エンジン側が検索結果に載らないよう削除しても、攻撃側が別サーバーで公開するなど、イタチごっこになる場合もあります。

フィッシング攻撃によって受けるリスクは、次のようなものがあります。

フィッシング攻撃を受けることで、個人情報や自身の金融情報の漏洩につながり、多額の金銭被害やクレジットカードの不正利用の被害を受けます。SNSなどのアカウントを乗っ取られると、自身の信用被害にも繋がります。

非常に危険で、対策が難しいフィッシング攻撃ですが、予防策はどのようなものがあるのでしょうか。次は、フィッシング攻撃の予防対策について説明していきます。

フィッシング攻撃は常に進化しています。様々な手口や種類で攻撃対象者を狙っています。フィッシング攻撃による被害を防ぐためには、最新の情報に常に注意し、普段から様々な対策を講じて準備する必要があります。

エンドポイントとは、企業で各従業員が使うデバイスを指します。完全に保護されていないエンドポイントはセキュリティが甘く、監視と適切な保護が必要です。

セキュリティチームによる厳格な監視やセキュリティソフトを導入するなど事前策を実行することと、もしフィッシング攻撃に晒された場合、そのデバイスの迅速な修復と対応を施すことが不可欠です。

従業員への教育は、フィッシング攻撃対策として、とても効果的と言えます。攻撃側の手法や考え方を理解して、フィッシング攻撃の兆候を察知できるようになります。

疑わしいメールやWEBサイトを発見した時の報告方法を確立し、従業員に伝えることも大事です。慌てずにセキュリティチームに報告できるよう従業員のトレーニングを行うことも、フィッシング攻撃被害を未然に防ぐ、重要な対策です。

フィッシング攻撃の対策として、MFA（多要素認証：Multi-Factor Authentication）システムを導入することも効果的です。正規のIDとパスワードが詐取されてしまっても、多要素認証を行うことで、簡単に正規のIDとパスワードが使用できなくなります。

ファイルのフィルタリングも、フィッシング攻撃の対策に効果的です。フィッシング攻撃を受け、疑わしい添付ファイルをフィルタリングシステムが発見したら、ユーザに届く前に削除してくれます。

URLのフィルタリングも、フィッシング攻撃対策に効果的です。悪意あるURLを含むメッセージを監視し、排除します。短縮URLについても、安全性を確かめ、攻撃対象者が偽サイトへ移動することを防いでくれます。

フィッシング攻撃は、人間のユーザーを騙し、不正なアクセスを誘うサイバー犯罪です。企業の重役やシステム開発リーダーなど特権ユーザーのアカウントはサイバー犯罪者にとって、魅力的な攻撃対象です。

重要な情報やシステムへのアクセス制限を設けることで、情報漏洩を未然に防げます。そして絶対に必要なユーザーにのみアクセス権を付与するなど、アクセス権の付与対象も制限すると、フィッシング攻撃対策として、効果が高いと言えます。

メールセキュリティソフトを導入することで、悪意ある添付ファイルやURL、スパム広告を検出できます。不審なインシデントを含むメールを自動的にブロックしてくれるので、攻撃対象者を悪意あるコンテンツやペイロードから保護してくれます。

本記事では、フィッシング攻撃の手口や種類、対策などについて説明しました。フィッシング攻撃の被害を受けないためには、フィッシング攻撃への理解を高めることが重要です。

ますます巧妙化するフィッシング攻撃は、いつでもユーザーを狙っています。個人の方は自身で対策を、法人組織の方は、従業員への教育を普段から行なっておきましょう。

セキュリティ教育が、疑わしいメールやSMS、URL、添付ファイルから身を守る習慣を育ててくれます。

コンサルティングに関しては、専門性を持ったコンサルタントが、徹底して伴走支援するクオンツ・コンサルティングにご相談ください。

①大手コンサルティングファーム出身のトップコンサルタントが多数在籍
②独立系ファームならではのリーズナブルなサービス提供
③『事業会社』発だからできる当事者意識を土台にした、実益主義のコンサルティングサービス

クオンツ・コンサルティングは『設立から3年9ヶ月で上場を成し遂げた事業会社』発の総合コンサルティングファームです。
無料で相談可能ですので、まずはお気軽にご相談ください。