Cyber risk resources
Phishing Awareness Guide

フィッシング認識ガイド

ダウンロードして PDF として読むには、ここからバージョンをダウンロードしてください: PDF バージョン

フィッシングは、攻撃者が悪意のあるペイロード リンクを配信したり、被害者からユーザー名、パスワード、クレジット カードの詳細などの機密情報を入手したりするための、最も簡単で低コストの方法の 1 つです実際、成功したすべてのサイバーセキュリティ違反の大部分には、特に攻撃がエスカレートする前にシステム内で足場を築くために、何らかの形のフィッシングが含まれています。

フィッシングの手口も、正当な通信に見せかけているため、はるかに巧妙で巧妙になっています。 SMS (「スミッシング」) や音声通話 (「ビッシング」) など、あらゆる形式のデジタル通信が脆弱です。

このフィッシング認識ガイドは、防止、識別、および一般的な戦術の例のヒントを含む、フィッシングの基本的な理解を提供するように設計されています。


重要な用語

  1. フィッシング:電子通信を介したソーシャル エンジニアリング攻撃で、送信者を信頼できるエンティティ (政府、銀行、ベンダー、雇用者など) に偽装して、被害者を欺くために使用されます。これらの攻撃は、多くの場合、標的を定めておらず、広く配布されています。
  1. スピア フィッシング:重要なデータやアカウントにアクセスできる組織のメンバー (財務や経理のマネージャーなど) を狙った標的型フィッシング
  1. ホエーリング: CEO などの上級意思決定者や重要な権限を持つ他のメンバーを標的とするように設計されたフィッシング攻撃。ホエーリングは、多くの場合、最も戦略的で、しつこく、収益性の高いフィッシングの形態です。
  1. Credential Harvesting:ユーザーにリンクをクリックして偽の Web サイトにアクセスし、資格情報を入力するよう求めるフィッシング攻撃。送信されたユーザー名、パスワード、セキュリティの回答、またはその他の情報は、将来の攻撃にも使用される可能性があります。
  1. 悪意のある添付ファイル:フィッシング メールや Web サイトによっては、感染した添付ファイルを開くように求められる場合があります。これらの添付ファイルは、ランサムウェア、マルウェア、リモート アクセス トロイの木馬などの第 1 段階のペイロードをダウンロードして実行します。一般的な添付ファイルの種類には、感染した PDF や Microsoft Office ドキュメントに埋め込まれたマクロ ウイルスなどがあります。

フィッシングメールを見分ける方法

  1. すべての Web アドレスを注意深く調べます。フィッシング攻撃者は、ドメイン内の 1 つの数字、記号、または文字を変更して、正当な Web サイトや電子メール アドレスなどになりすますことがよくあります。これらの微妙な違いは見過ごされがちです (例: paypal.com と paypa1.com、 nike.com と nike.org など)。 )。
  2. つづりや文法の間違いを探します。多くの場合、フィッシング メッセージにはスペルミスや文法ミスが含まれます。メッセージの口調と言葉遣いも、その信憑性を示す指標となる場合があります。自問してみてください: 言葉遣いは、この送信者にとって普通で適切に見えますか?
  3. 知っている人からのメールであることを確認します。添付ファイルを開いたり、知らないまたは信頼できないソースからのリンクをクリックしたりしないでください。不明な場合は、個別に連絡して送信者を確認してください (電話やテキスト メッセージなど)。
  4. 急ぎの依頼はご遠慮ください。多くの攻撃者は、緊急性を利用して犠牲者をだまし、時間的制約のあるタスク (特に金銭的影響のあるタスク) の完了を要求します。そのような要求は、常に代替チャネルを介して送信者に確認してください。
  5. リンクにカーソルを合わせると、リンク先をプレビューできます。さらに良いのは、URL スキャナーでアドレスを解析し、プライベート スキャンを選択して、攻撃者に警告されないようにすることです。

    予防措置

    1. すべてのユーザー アカウントで多要素認証 (MFA)を有効にします。

    2. メール アカウントのパスワードを定期的にリセットし、疑わしいアクティビティが特定されたらすぐにリセットします

    3. ソフトウェア更新を自動化して、バグ修正と脆弱性パッチを適用した最新のソフトウェアを確実に入手します。

    4. 外部ドメインへのメール転送ルールを無効にします。このアクションにより、Business Email Compromise (BEC) 詐欺師が、攻撃で内部通信プロセスを複製する手段として電子メール通信を密かに監視するのを防ぎます。

    5. フィッシング メールを転送しないでください。スクリーンショットを撮り、フィッシング/スパムとしてマークし、IT チームに連絡してサポートを依頼してください。

          実際のケーススタディ – 香港、2020

          香港の衣料品商社の CEO に対して、スピア フィッシング キャンペーンが開始されました。 CEO は Microsoft から O365アカウントの検証を求めるメールを受け取ったと思われます。 CEO は、これがメール サービス プロバイダーからの正当な要求であると考えて、リンクをクリックし、資格情報を入力しました。その後、彼は自分のアカウントが検証されたことを知らせるメッセージを受け取り、それ以上考えることはありませんでした.しかし、彼のアカウントは侵害され、攻撃者は彼のメールとカレンダーにアクセスできるようになりました。

          CEO のアカウントでは多要素認証が有効になっていないため、ハッカーは盗んだ資格情報だけでアカウントにアクセスできました。攻撃者は監視キャンペーンを開始し、会社のコミュニケーション スタイルと請求方法を理解するために必要な情報を収集しました。攻撃者はメール転送ルールを設定し、すべての電子メール通信を自分の個人用受信トレイに送信して、不正な取引を実行するために必要な有用な情報を収集します。

          導入されたメール転送ルールの一環として、すべての請求書関連の電子メールはハッカーに直接送信され、CEO の受信トレイから削除されたため、CEO は進行中の取引に気付かなくなりました。さらに、攻撃者は、衣料品商社のサプライヤが銀行口座を変更中であり、まもなく新しい支払いの詳細が記載された請求書を送信することを認識しており、攻撃者にとって絶好の機会を提供しています。

          CEO のカレンダーを知っていたハッカーは、CEO が 2 週間の出張中に会社を攻撃しました。ハッカーは、サプライヤーからの偽の請求書を作成し、偽の会社の印をつけて、書類を衣料品会社の経理部門に送って取引を処理させました。 「CEO」とCFOの間の複数の電子メール通信により、取引は承認されました。

          約 3 週間さかのぼって、同社は、侵害された CEO の電子メール アカウントが、ハッカーの指定した銀行口座に 150 万香港ドルの請求書を送信していたことを発見しました。

          このようなフィッシング攻撃の成功を防ぐには、重要なアカウントへのログインを要求する電子メールを注意深く調べ、多要素認証を有効にし、すべてのメール転送ルールを無効にし、重要な金銭的要求を別の通信で確認することを忘れないでください。

          一般的なフィッシングの例

          銀行通知:
          銀行やその他の政府機関は、リンクをクリックして資格情報を確認したり、テキストで取引を認証したりするように求めることはありません。代わりに、 Multi-Factor Authentication の一部として、電話をかけるかOTP を入力するための特定の番号が与えられます。

          不正なサインイン:
          クレジット カード情報などの機密情報や、パスワードなどの個人情報を要求するメールには注意してください。これらの電子メールは、攻撃者が個人情報を収集したり、知らないうちにエンドポイントにマルウェアをインストールしたりする可能性のある、その本質を難読化する可能性のあるリンクを提供します.別のウィンドウでそのようなサービスに手動でログインするか、関連するサービスプロバイダーに連絡して、要求の有効性を判断してください。

          緊急のリクエスト:
          常にリクエストの発信元を確認してください。攻撃者は、多くの場合、組織のメンバーやネットワークの誰かになりすまして、あなたの信頼を得て、彼らに代わって違法な取引を完了させますフィッシングの試みを示すもう 1 つの兆候は、文法と文の構造が貧弱であることです。

          悪意のある添付ファイル:
          特に添付ファイルのダウンロードを求められた場合は、偽のメール アドレスを使用した不明な送信者からのメールに注意してくださいこの添付ファイルは、知らないうちにエンドポイントにマルウェア、ランサムウェア、またはトロイの木馬アクセスをインストールする可能性があります。さらに、この電子メールはつづりと文法がお粗末で、適切なサインオフがありません。