この回では フィッシング の主な目的とその手法、及び対策などをまとめます
・フィッシングの目的
主たる目的は認証情報や個人情報を盗むことです
簡潔なフィッシングの流れを以下に示します
1 被害者を何らかの方法で偽サイトに誘導する
2 偽サイトで認証情報や個人情報を入力させる
3 入力した情報が攻撃者に送信される
おおまかにこのような流れで行われます
1の偽サイトに誘導する方法でフィッシングの名前が変わります
・メールによるフィッシング
単にフィッシングと言ったらメールによるフィッシングを指す場合が多いと思います
以下の流れで行われます
1 被害者に有名な組織や機関を騙るメールが届く
2 被害者は偽サイトへのリンクをクリックする
3 本物そっくりのログインページに遷移し、認証情報(ID/パスワード)を入力する
攻撃者は被害者の興味を引きそうな文面でURLのクリックを誘います。
このようなメールは昔であれば日本語が所々おかしいと言った、言語の壁である程度防ぐことができていましたが、今は生成AIのおかげで異なる言語のメールを作成することが容易となっています
対策としては、メールのリンクはクリックしないこと です
極論のようですが、実際そこまで難しいことではないと思います
例えば、某通販サイトからのメールが来たとして、そのリンクは踏まず
ブラウザからの検索やブックマークを使ってサイトに行くという方法が考えられます。
上記方法は実際に警察庁からも推奨されています。
・SMSによるフィッシング
SMS(ショートメッセージ)を用いた方法で、スミッシング と呼ばれます
攻撃方法は上記のメールがSMSに置き換わっただけです。
対策もメールと同じ、リンクは押さないようにしましょう。
しかし、スミッシングでは対象の媒体の多くがスマートフォンであるということから
偽サイトへの誘導だけでなく、不正なアプリ(マルウェア)のインストールを促す場合もある様子
・QRコードによるフィッシング
QRコードを用いた方法で、クィッシング と呼ばれます
こちらも基本は上記2つと同じで、QRコードを悪用した攻撃です
ただ、上記2つと比べてクィッシングは偽サイトに接続する確率が高いことが考えられています
QRコードを見ただけではリンク(URL)の内容が分からないことや
一般に広く利用されていることもあり、被害者の警戒心が薄いことが理由と考えられています
このような実例がありました(この例はQRコード以前に怪しいが…)
対策としては難しい所ですが、遷移先URLの確認や出所不明のQRコードのスキャンは控えましょう
スキャンするアプリによってはスキャン時にURLが表示されるので、それを確認するのも手です。
・音声によるフィッシング
最後に、音声を用いた方法である ビッシング を紹介します
これは上記のタイプとは違い、偽サイトへの誘導はせず
電話によって情報を盗もうとする攻撃です。
攻撃者は金融機関や公的機関の担当者を騙り、緊急性のある内容で被害者を焦らせ
正常な判断が出来なくなったところで、カードの情報や個人情報を聞き出そうとします
こちらも対策が難しいですが、身に覚えのない内容だったり
少しでも不審に思ったら、いったん電話を切り、公式窓口に確認を取ると良いでしょう
・生成AIによるフィッシングの脅威
昨今の生成AIの成長は目を見張るものがありますが、生成AIは悪事にも利用されます
今回挙げたフィッシングの例ではメールやSMSの内容、音声にまでも利用されています
音声に関しては、バーチャル誘拐なる被害も出ておりビッシングにも悪用できる可能性は十分あるのではないでしょうか。
また、フィッシングに限った話ではないですが
生成AIの利用によりサイバー犯罪のハードルが下がり、知識がない人でも攻撃は可能です
特にマルウェアの作成には生成AI利用の動きが活発のようです。
マルウェアを作成する生成AIなんてのもあります
まとめ
色々な種類のフィッシングを挙げてきましたが、基本は大体同じです
被害者の認証情報を盗み、悪用すること。
あえて各項目で触れませんでしたが、フィッシングには多要素認証が有効です
IDやパスワードが盗まれても端末が無いとログインできなくなります。
可能なサイト/サービスでは有効にしましょう。
コメント