フィッシング攻撃は増加し、ますます巧妙になっています。攻撃者は継続的に、機密情報を提供させるために人を騙す新しい手法を開発しています。また、偽のメール、ソーシャルメディア メッセージ、または電話を使用したキャンペーンによるフィッシング詐欺は、重大な金銭的損失や風評被害を招くおそれがあります。
このブログ記事では、フィッシングメールに返信してしまったと思われる場合に何をすべきか、プルーフポイントによりこれらの攻撃のリスクをどのように軽減できるかについて説明します。
フィッシング攻撃の種類
フィッシング攻撃にはさまざまな形態がありますが、どれも目的は同じです。ユーザーを騙してログイン認証情報、アカウント情報、実際のファイルやデータなどの機密情報を入手することです。
広く使用されているフィッシング攻撃のさまざまな種類を理解することが、詐欺メールを特定する上で役立ちます。
- メールフィッシング:最も広く使用されているフィッシング攻撃の種類です。銀行または有名な企業といった信頼できる送信元になりすましてメールを送信します。通常メールには、被害者を偽のWebサイトへと誘導するリンクが含まれています。サイトにアクセスしたユーザーは、ログイン認証情報、クレジットカード情報、またはその他の機密情報を入力するよう要求されます。
- スピアフィッシング:フィッシング攻撃よりもさらに標的を絞ったスピアフィッシングでは、サイバー犯罪者は被害者の利益や個人情報を探り、パーソナライズされたより説得力のあるフィッシングメールを作成します。この種の攻撃はしばしば、経営幹部や高い役職にある個人を標的に使用するために使用されています。
- ホエーリング:スピアフィッシングと同様、ホエーリング(またはCEO詐欺)は、経営幹部または組織内の大きな権限を持つ個人を標的にしています。これらの攻撃はしばしば緊急性をもたせたり、恐怖をあおるなどして送金または機密情報の送信といった行動を即座に取らせようと被害者に促します。
- ビッシング:「ボイスフィッシング」の略語であるビッシングでは、攻撃者は被害者に電話をかけ、銀行または政府機関など、信頼できる組織の人物になりすまします。ソーシャル エンジニアリング手法を使用して電話で機密情報を提供するよう被害者を騙すといった攻撃方法があります。
- スミッシング:ビッシング同様、スミッシングでは、攻撃者は電話の代わりにテキストメッセージを送信します。メッセージには、被害者を偽のWebサイトへと誘導するリンクが含まれている場合があります。または、返信で機密情報を提供するよう被害者に依頼する場合もあります。
- TOAD:電話を用いたサポート詐欺(TOAD, Telephone-Oriented Attack Delivery)は、電話を用いて機密情報を提供する、または悪意のある行動を取るよう被害者を騙すものです。日本では単に「サポート詐欺」と報道されたりします。攻撃者は信頼できる人または組織になりすまし、信頼や緊急性など、人の弱点につけこみます。
フィッシングメールに返信してしまった場合に取るべき行動
フィッシングメールに返信してしまったと思われる場合は、その被害を最小化するために迅速な行動を取る必要があります。取るべき手順をいくつかご紹介します。
- パスワードを保護する:まず、直ちにパスワードを変更します。定期的にパスワードを変更し、フィッシング攻撃の標的にされていなかったとしても、パスワードのベストプラクティスに従うべきです。パスワードは推測が困難で複雑な一意のものを使用し、複数のアカウントに同じパスワードを使用したり、誰かに教えたりしてはいけません。
- インシデントを報告する:次に、フィッシングメールについてIT部門またはメールプロバイダーに報告します。これは可能な限り速やかに行ってください。インシデントを速やかに報告できれば、セキュリティチームはメールの送信元を特定し、さらなる攻撃を防止するために必要な対策を取ることができます。(プルーフポイントのPhishAlarmが役立ちます。フィッシングメール報告分析・修復ツールで、フィッシングが疑われるメールをセキュリティチームに適時に報告します。)
- 二要素認証(2FA)を導入します:これはフィッシング攻撃から保護するためのもう一つの重要な手順です。2FAは、追加的なセキュリティレイヤーとして機能し、ユーザー名とパスワードに加え、指紋またはワンタイム パスワードといった2つ目の認証を必要とするものです。これにより、サイバー犯罪者がログイン認証情報を入手したとしても、アカウントにアクセスするのは困難です。
- アカウントを監視する:フィッシングメールに返信してしまったら、マルウェアがないか確認することが重要です。マルウェアは、コンピュータシステムに危害を加える、もしくは使用できなくさせる、機密情報を盗む、またはユーザーアクティビティを偵察するために設計された悪意のあるソフトウェアです。サイバー犯罪者はしばしばフィッシングメールを使用してマルウェアを配布しているため、ウイルスまたはその他の悪意あるソフトウェアがないかデバイスを検査することが重要です。
- 会社または組織に連絡する:信頼できる送信元からと思われるフィッシングメールに返信してしまった場合は、会社または組織に連絡し、その旨を知らせます。会社または組織は、他の顧客または従業員が同じ詐欺に引っかからないよう防止するための対策を講じることができるでしょう。
- 学習する:さまざまなフィッシング攻撃や、これらを特定する方法について学習します。文法上の誤り、不審なリンク、機密情報の要求など、詐欺の兆候を探します。フィッシング攻撃者が一般的に使用しているものを把握しておくことは、騙されるのを回避する上で役立ちます。
プルーフポイントが支援できること
プルーフポイントは、インシデントの前後でフィッシング攻撃のリスクを低減する上で役立つさまざまなソリューションを提供しています。プルーフポイントによるサポート方法をいくつかご紹介します。
- メールセキュリティ:プルーフポイントのメールセキュリティと保護のソリューションは、高度な脅威インテリジェンスを使用し、フィッシングメールを検知・阻止します。メールフィルタリング、サンドボックス、機械学習モデル、Web分離などのメールセキュリティ手法を適用します。これらの対策により、従業員がフィッシング詐欺やその他のメールによってもたらされる脅威の被害にあうのを防ぐことができます。
- 脅威への自動対応:Proofpoint TRAP (Threat Response Auto-Pull)ソリューションは、自動の対応、修復、潜在的脅威のリアルタイム可視化を提供します。セキュリティチームが迅速に攻撃に対応し、リスクを低減できるようサポートします。迅速な対応により、フィッシング攻撃による被害やその他のサイバー脅威がもたらしうる被害を最小限に抑えることができます。
- セキュリティ意識向上トレーニング:プルーフポイントによるサイバーセキュリティの教育と意識向上のソリューションは、フィッシング攻撃を認識し、対応するための方法を従業員に教えることができます。パーソナライズされたトレーニングモジュールと攻撃シミュレーションにより、組織の対応状況をテストすることができます。
詳細
フィッシング攻撃は、規模や業界問わずどの組織にとっても脅威となり、誰もが標的にされる可能性があります。迅速に適切な対策を取ることにより、攻撃の成功確率とその影響を低減することができます。また、組織のサイバーセキュリティ体制全体を向上させることにもつながります。
ユーザーがフィッシング詐欺に引っかかった場合にすべきことを正確に把握するために、明確なガイドラインを策定することが組織にとって重要です。これらのガイドラインには、パスワードの変更、IT部門への通知、2FAの導入、マルウェア有無の確認、未来に備えることなどが含まれます。
フィッシングに関連したリスクや、こうした攻撃がどのように組織化されるかについては、プルーフポイントの2023 State of the Phishレポートをご覧ください。