Oktaのデモ動画を多数掲載 - コンテンツライブラリ デモを見る
無料トライアル お問い合わせ

フィッシング防止 101: 組織の保護

更新済み: 2024年07月22日 読了目安時間: ~

トピック

Phishing Resistance, Security

目次

 

この記事は機械翻訳されました。

 

フィッシング防止はフィッシング攻撃から保護します、フィッシング攻撃は、疑うことを知らない個人をだまして、偽のデジタル通信を使用して個人情報やセキュリティに敏感な情報を公開させます。

重要なポイント

  • 「フィッシング」という言葉は「フィッシング」という言葉をもじったもので、攻撃者が餌を使って人々を「引っ掛け」、釣り人が魚を捕まえるのと同じように、機密情報を漏らします。
  • フィッシング攻撃の防止には、従業員の教育、堅牢なセキュリティテクノロジー、明確に定義されたインシデント対応計画を組み合わせた多層的なアプローチによるプロアクティブな防御戦略が必要です。
  • AIは、数え切れないほどの業界に革命をもたらし、生産性と品質を向上させる可能性を秘めています。しかし、悪意のある人の手に渡ると、ITは高度なフィッシングスキームで害を及ぼすツールになる可能性があります。
  • パスキーなどの高度なアイデンティティ テクノロジーを採用することで、パスワードレスとフィッシング耐性のある ユーザーエクスペリエンス は、進化するフィッシング戦術に対する継続的な脅威保護を実現します。

フィッシングとは?

「フィッシング」という用語は90年代半ばに造られ、信頼し、権威を遵守し、緊急事態に直面したときに迅速に行動するという人間の自然な傾向を食い物にするソーシャルエンジニアリング攻撃の一種を表しています。脅威アクターは、正当なエンティティになりすました説得力のあるメッセージを作成し、馴染みのあるブランディングと言語を使用して被害者の信頼を獲得します。

フィッシングが人間の心理と行動を悪用する方法

フィッシングの試みは、切迫感や恐怖感を醸し出す戦術を採用し、リクエストの信憑性を確認せずにターゲットに行動を迫ることがよくあります。また、キャットフィッシング(別名キャットフィッシング)の詐欺で、被害者の感情を悪用します。攻撃者は、人間の心理を操作して技術的なセキュリティ対策を回避し、個人を騙して機密情報を開示させたり、セキュリティを漏洩/侵害する行動をとったりすることができます。

フィッシング戦略の最近の傾向と進歩

組織とそのスタッフは、特にフィッシング技術が成熟し続けるにつれて、常に情報を入手し、強力なフィッシング防止対策を実施する必要があります。 攻撃者は現在、生成AI などの高度なテクノロジーを活用して、一見リアルなコンテンツを作成し、高度にパーソナライズされた説得力のある電子メールを作成しています。 マス E メールから標的型スピアフィッシング攻撃や捕鯨攻撃への移行により、IT 部門がこれらの脅威を検出することは、個人や組織にとってますます困難になっています。

 

LinkedInのようなソーシャルメディアプラットフォームは、偽の求人情報やなりすましの採用担当者で求職者を狙う攻撃者にとって格好の場となっています。さらに、暗号通貨の台頭により、偽の暗号通貨投資スキームやデジタルウォレットを標的としたフィッシングの試みを通じて数百万ドルが盗まれるなど、詐欺の新たな手段が開かれています。

フィッシング攻撃はどのように発生しますか?

脅威アクターは、フィッシング詐欺を作成して、ログイン、認証情報、クレジットカード番号などのユーザーデータを不正に取得します。 これは、攻撃者が信頼できるエンティティを装って、被害者を誘惑して、銀行や政府機関などの正当な組織からの IT のように見えるテキスト メッセージ、電子メール、またはその他の通信を開くように仕向けるときに発生する可能性があります。 メッセージ内のリンクをクリックすると、ユーザーは実際のWebサイトを模倣したWebサイトに移動します。ユーザーが偽のサイトに個人情報を入力すると、攻撃者はITを盗んで詐欺やアイデンティティの盗難を犯すことができます。

フィッシングの種類:

  • E メール or フィッシング: E メールを通じて正当な企業や個人になりすまし、機密情報、アカウントの詳細、または金銭を抽出する行為。
  • 音声フィッシングまたはビッシング: 電話またはVOIPサービスで音声合成テクノロジーを使用して、被害者に機密情報を提供したり、特定のアクションを実行したりするように説得します。 ビッシングは、電子通信ではなく対人関係に依存して、直接会って行うこともあります。

テキスト メッセージまたはスミッシング: SMS アプリやメッセージング アプリを介して受信者をだまし、情報を共有させたり、有害なアクションを実行させたりする。

  • QRコードフィッシング: 機密情報をキャプチャする悪意のあるWebサイトに被害者を誘導するQRコードを配置します。
  • WiFiまたは「悪魔の双子」フィッシング: 偽のWi-Fiホットスポットを作成して、被害者のトラフィックを監視し、悪意のあるWebサイトにリダイレクトします。
  • 標的を絞らないフィッシング: 特定のターゲットを念頭に置かずに大量の悪意のあるメッセージを送信し、少数の人々が餌にかかることを期待しています。
  • 釣り人フィッシング: 多くの場合、ソーシャルメディア上でカスタマーサービス担当者になりすまし、被害者のターゲットを知らずに被害者から情報やお金を引き出します。
  • Business E メール 漏洩/侵害 (BEC): 会社の高位の役員や役人を騙して、Eメールを通じて行動を起こさせたり、資金を送金させたり、機密情報を開示させたりする行為。
  • AitM(Adversary-in-the-middle)フィッシング: 被害者のネットワークトラフィックを傍受して、Webサイトの外観を変更したり、悪意のあるサイトにリダイレクトしたりします。
  • スピアフィッシング攻撃: 小さな特定のオーディエンスが貴重な情報を取得したり、特定の行動を誘発したりすることを目的としたパーソナライズされたフィッシングメッセージを作成します。
  • 捕鯨:スピアフィッシング攻撃の一部で、組織内の価値の高い個人や上級者を標的にしたもの。
  • キャットフィッシング: ソーシャル ネットワークや出会い系サイトで偽のプロフィールを作成し、被害者を金銭的または個人的な利益のために詐欺的な関係に誘い込みます。
  • ソーシャルメディアフィッシング: ソーシャルメディアプラットフォーム上での人のつながりを悪用して、機密情報を抽出したり、悪意のあるサイトに誘導したりすること。
  • 暗号通貨フィッシング:暗号通貨のユーザーやサービスを標的にして、資金を盗んだり、アカウントにアクセスしたりします。
  • 採用または求人詐欺フィッシング:採用エージェントまたは人事担当者になりすまして、求職者を搾取し、金銭や機密情報を引き出すこと。
  • ファーミング: DNSサーバーソフトウェアの脆弱性を悪用したり、ユーザーのローカルホストファイルを変更したりして、ユーザーを正当なWebサイトから偽のWebサイトに誘導します。
  • クローンフィッシング:以前に配信された正当な電子メールとほぼ同一のレプリカを作成し、リンクや添付ファイルを悪意のあるものに置き換えること。
  • ポップアップフィッシング:ユーザーのコンピューターがマルウェアに感染しているという不正なポップアップウィンドウクレームを表示し、ユーザーをだまして有害なソフトウェアをダウンロードさせたり、個人情報を提供させたりします。
  • SIM swap フィッシング:携帯電話会社を騙して、被害者の電話番号を攻撃者が管理するSIMカードに転送させ、SMSベースの2要素認証をバイパスできるようにすること。
  • マルバタイジング: 正当なウェブサイトに悪意のある広告を掲載し、ユーザーをフィッシングサイトにリダイレクトしたり、マルウェアのダウンロードを促したりすること。
  • In-セッション フィッシング: アクティブなブラウジング セッション中に偽のポップアップを表示し、ユーザーのセッションの有効期限が切れたというクレームを表示し、ログイン認証情報の再入力を要求する。

フィッシング防止のベストプラクティス

警戒心が強く、十分な訓練を受けた従業員と、最先端の監視およびアイデンティティ テクノロジーを組み合わせることで、フィッシング攻撃の被害に遭うリスクを軽減できます。

フィッシング攻撃を検出する方法

フィッシング詐欺は常に進化していますが、次のようなものが含まれる場合があります。

  • 緊急性:攻撃者は、被害者に直ちに行動を起こすように圧力をかけたり、クレームが停止されたり、請求書が未払いになったり、行動を起こさなかった場合に悲惨な結果を招いたりします。
  • Suspicious E メール アドレスまたはドメイン: フィッシング E メールは、多くの場合、正規の会社概要を模倣して、パブリック メール プロバイダーまたはなりすまし ドメインから発信されます。
  • 欺瞞的な Web リンク: フィッシング E メールには、正当なように見えても、誤解を招く URL を持つ悪意のある Web サイトにターゲットをリダイレクトするリンクが含まれます。
  • 非人間的な挨拶: バルク フィッシング E メール では、「Dear Sir/Madam」や単に「Hello」などの一般的な挨拶がよく使用されます。
  • 予期しないリクエスト: 予期しないアカウントの停止、情報確認のリクエスト、予期しない請求書の正当性に疑問を投げかけます。
  • 特徴のない言葉遣い: 友人や同僚からのメッセージが通常のコミュニケーションスタイルと一致しない場合は注意が必要です。
  • 危険な添付ファイル: 不明な送信者からの添付ファイルや、E メール プロバイダーによってウイルス スキャンされていない添付ファイルはダウンロードしないでください。

フィッシング攻撃を防ぐ方法:

  • 従業員をトレーニングする: フィッシング意識向上トレーニングを提供して、フィッシング攻撃の疑いがある場合に従業員にどのように対応するかを従業員に教えます。このトレーニングをシミュレーションで強化し、実際の試みがどのようなものかを従業員に示します。
  • E メール フィルターとゲートウェイを実装します。 E メール フィルタリング ソリューションとセキュア E メール ゲートウェイを展開して、疑わしい E メールが従業員の受信トレイに到達する前に特定して阻止します。 さらに、ユーザーがフィッシング攻撃の疑いを報告するために使用できるツールを統合し、攻撃者のプロファイルを作成するのに貴重な支援となります。
  • 多要素認証 (MFA) を使用する: プロフェッショナルアカウントと個人アカウントにMFAを実装します。絶対確実ではありませんが、MFAはフィッシング攻撃によるアカウント乗っ取りの成功リスクを大幅に減らすことができます。さらに、パスキーなどのパスワードレス テクノロジーを first-Factor Authentication の一部として使用すると、リスクをさらに軽減できます。
  • エンドポイント保護をデプロイします。 既知のフィッシング サイトのブラックリスト、ネットワークおよびデバイス全体の監視、疑わしいメッセージや悪意のあるリンクを特定できる E メール セキュリティなど、フィッシング対策機能を備えたエンドポイント保護ツールを使用します。
  • 支払い確認ポリシーを実装します。 資金を送金する前に複数の請求書の承認を必要とするプロセスを確立し、承認されたチャネルを通じてのみ支払いを許可します。ギフトカードや暗号通貨など、追跡やブロックが困難な支払い方法のリクエストには注意してください。
  • Embrace 最小権限アクセス: 従業員が自分の仕事に必要なツールとシステムのみにアクセスできるようにすることで、攻撃対象領域を減らします。
  • 高度なアイデンティティ テクノロジーを採用する: パスキーのような次世代ソリューションを活用して、パスワードレスとフィッシング耐性のある ユーザーエクスペリエンス と継続的な脅威保護を実現します。
  • インシデント対応計画を策定します。 フィッシング攻撃を迅速に検出、封じ込め、回復するための徹底的なインシデント対応計画を作成します。レポート機能 suspicious activities、インシデントの調査、成功した攻撃の影響を軽減するための手順を含めます。

ケーススタディ:フィッシングの影響

フィッシング攻撃は、個人、組織、さらには国家にまで壊滅的な打撃を与える可能性があります。たとえば、2016 年の米国大統領選挙中の民主党全国委員会 (DNC) の場合、GRU 軍事情報組織の一部であると考えられている Guccifer 2.0 として知られるロシアの国家支援ハッキング グループ (グループ) は、Gmail などの正当なソースから送信されたように見せかけたフィッシング E メール で DNC を標的にしました。 ヒラリー・クリントンの大統領選挙キャンペーンの議長である ジョン・ポデスタを含む多くの受信者が疑っているにもかかわらず、攻撃者はキャンペーンスタッフ間の誤解により、漏洩/侵害 E メール アカウントに成功しました。

このフィッシング攻撃の影響は甚大でした。ハッカーはDNCの電子メールから機密情報を入手しました。 その後、彼らはその内容をウィキリークスにリークし、大統領選挙運動に大きな混乱を引き起こし、米国の選挙プロセスに対する外国の干渉に対する懸念を引き起こした。

フィッシングと防止方法の未来

AIの急速な発展に伴い、フィッシング攻撃におけるITの潜在的な悪用が懸念されています。GPT-4やDALL-E2のようなAI モデルは、簡単なプロンプトに基づいて、臨場感の高いテキストや画像、ビデオを作成することができます。 これらの強力なツールが悪用されると、ますます説得力のあるパーソナライズされたフィッシング E メールを作成できるようになり、攻撃の検出と防止がさらに困難になります。

たとえば、攻撃者は生成AI を利用して、会社概要のCEOの話し方パターンやイントネーションを忠実に模倣した偽の音声録画を作成し、従業員を騙して機密情報を開示させたり、資金を送金させたりする可能性があります。 また、AIが生成した画像を使用して、正規のものとほとんど区別がつかない偽のWebサイトやソーシャルメディアのプロファイルを作成することもできます。

しかし、 AI はフィッシング攻撃に対して同等の勢いで防御する可能性を秘めた両刃の剣です。 組織は、警戒を怠らず、フィッシング防止戦略を適応させて、これらの新たな脅威に対抗する必要があります。これには、AIが生成したフィッシングの試みを検出してフィルタリングできるAIを活用した防御ソリューションへの投資や、従業員の教育と意識向上トレーニングの継続的な優先事項が含まれる場合があります。

常に情報を入手し、強力な防御策を積極的に実施することで、個人や組織は自分自身、従業員、そして顧客をフィッシングの一歩先を行くことができます。

Oktaでフィッシング攻撃を防止

Oktaのアイデンティティを活用したセキュリティがユーザージャーニー全体に広がり、生産性を損なうことなくフィッシングに対する保護を提供する方法をご覧ください。

フィッシング抵抗について詳細を見る フィッシング対策による脅威からの保護に関するページをご覧ください。

アイデンティティ施策を推進

今すぐ無料トライアルをご利用いただけます。個別のご要望については、お気軽にお問い合わせください。

今すぐ始める
見積もりなどのお問い合わせ