The Bitwarden Blog

注意すべきフィッシング攻撃の主な種類

authored by:Kasey Babcock
posted :
フィッシング
  1. Blog
  2. 注意すべきフィッシング攻撃の主な種類

フィッシング攻撃はかつてないほど危険になっており、IBMによると、個人および企業は1件の侵害で平均488万ドルの損害を被っています。金銭的損失に加え、フィッシング攻撃は被害を受けた人々の評判、信頼感、精神的安定、そしてプライバシーに非常に深刻な脅威をもたらします。

さまざまな種類のフィッシング攻撃とその仕組みを理解することで、個人や組織は保護に必要なツールと情報をより適切に備えることができます。このリソースでは、個人生活や職場で遭遇する可能性のあるすべてのフィッシング攻撃の概要と、攻撃を識別してブロックするための実用的なヒントをご覧いただけます。

フィッシング攻撃がどのように進化しているかについて詳しくは、 AI を活用したフィッシングAI 攻撃の検出および防御方法に関するリソースを参照してください。

フィッシングとは何か?

フィッシングは、悪意のある人物がクレジットカード番号、個人情報、ログイン認証情報などの機密情報にアクセスしたり、ターゲットを騙してマルウェアをダウンロードさせようとするサイバー攻撃の一種です。Hoxhunt のフィッシング トレンド レポートによると、フィッシング キャンペーンの 80% は機密の認証情報を盗むことを目的としています。

フィッシング攻撃の種類

攻撃者はさまざまなチャネルを活用してターゲット ユーザーにアプローチします。電子メールが最もよく使用されますが、現在ではフィッシング キャンペーンの約 40% がこのチャネルを超えています (フィッシング トレンド レポート)。最も高度な攻撃では、機密情報を取得するために複数のチャネルと手法が採用されます。

一般的なフィッシング攻撃の種類

ディープフェイク動画フィッシング

この比較的新しいフィッシング攻撃形式は、受信者を効果的に騙す説得力のあるコンテンツを生成する AI の真の威力を示しています。ディープフェイク動画はフィッシング攻撃の一種で、攻撃者は信頼できる個人の AI 生成音声または動画クリップを使用して、受信者を騙し、機密情報を漏らしたり資金を送金させたりします。

実際の影響:フォーブス誌によると、「ディープフェイクを使ったフィッシングや詐欺の件数は驚異的な3,000%増加した。」ディープフェイクフィッシング攻撃の増加は、実際の人々や企業に影響を及ぼしています。

警告となる事例:香港では、AI が生成したビデオ通話に参加した後、財務担当者が会社の最高財務責任者を装った攻撃者に騙されて 2,500 万ドルを支払った(CNN)。攻撃者はディープフェイクビデオ技術を活用して、他の複数の信頼できるスタッフになりすまし、標的の従業員にそれが正当な電話であると信じ込ませました。これは、財務部門の従業員が標的にされる一回限りの事例ではありません。最近の Medus レポートによると、ディープフェイク フィッシング攻撃の標的として財務チームが不釣り合いに多くなっていることがわかりました。財務専門家の 53% がディープフェイク フィッシング攻撃の標的となり、43% が攻撃の被害に遭ったことを認めています。

次のヒントで自分を守りましょう: 視聴する動画コンテンツに不自然さや「完璧」さがないか注意してください。非常に滑らかな肌、質感の欠如、場違いな反射、鮮明すぎる音声はすべて、AI が生成したディープフェイク動画を操作している可能性があることを示しています。

メールフィッシング

電子メールベースのフィッシング攻撃は電子メールで送信され、多くの場合、ターゲットに添付ファイルを開いたり、悪意のあるリンクをクリックするように促します。

電子メールベースのフィッシングは一般的ですが、非常に危険です。政府機関やその代表者を装ったフィッシングメールは、2024 年以降 35% 増加しており (フィッシング トレンド レポート)、これらの機関が一般大衆に対して持つ信頼と権威を利用して、人々を騙して危険な行動を取らせています。

ニューヨーク州労働省(銀行情報セキュリティ)を装ったフィッシングメールの例

次のヒントで自分を守りましょう:疑わしいメールを受信した場合は、まず送信者のメール アドレスを確認してください。メール アドレスのドメインにスペルミスがあったり、明らかにそのメール アドレスが示す人物や機関と関連がない場合は、無視してください。電子メールの内容に誤字や文法上の誤りがある場合も、フィッシング攻撃の兆候となる可能性があります。最後に、リンクの上にマウスを移動してからクリックして宛先を確認します。

スミッシング

スミッシングまたは SMS ベースのフィッシング攻撃では、悪意のある攻撃者はテキストまたは Whatsapp や Slack などの他のメッセージング アプリを介して個人をターゲットにします。こうしたタイプのフィッシング攻撃も非常に一般的であり、通常は受信者にリンクをクリックしたり送金したりするなどのアクションを実行するように誘導します。

スミッシング攻撃の例(Proofpoint)

次のヒントで自分を守りましょう: メッセージに緊急性が示されている場合は、指示に従う前に、検証済みのチャネルを通じて送信者に連絡してみてください。

キッシング

クイッシング、または QR コード フィッシングは、悪意のある人物が一見正当な QR コードを使用して個人を騙し、フィッシング Web サイトにアクセスさせたり、マルウェアをダウンロードさせたりしようとする攻撃です。現代社会では QR コードが普及しているため、この種のフィッシング攻撃は、最もセキュリティに気を配る専門家でさえ騙される可能性があります。QR コードは、ポスター、看板、電子メール、さらにはレストランのメニューにも表示されます。

次のヒントで自分を保護してください:信頼できないソースからの QR コードをスキャンしないでください。メニューやその他の物理的なアイテムから QR コードをスキャンする場合は、それがオリジナルの QR コードであること、および実際の QR コードの上に貼られたステッカーをスキャンしていないことを確認してください。

ヴィッシング

ヴィッシング、または音声フィッシング攻撃は、電話の通話や音声メモを利用して、認証情報、クレジットカード番号、社会保障番号などの機密情報にアクセスします。一度入手された情報は、個人を偽装したり、銀行口座から盗み出したりするために使用されることがよくあります。悪意のある人物が政府機関や金融機関を装った場合、これらの攻撃を特定することも困難になる可能性があります。

次のヒントで自分を守りましょう:電話で誰かと話しているときに湧き上がる感情に注意を払ってください。この人はあなたの助けたいという生来の欲求に訴えましたか?彼らはあなたに、例えば資金の一部など、何か見返りを提供しましたか?これらのソーシャル エンジニアリング戦略は、通常、フィッシング詐欺を示唆します。

ソーシャルメディアフィッシング

ターゲット広告、ダイレクト メッセージ (DM)、アカウント、オーガニック投稿などのソーシャル メディア コンテンツもフィッシング攻撃に利用される可能性があります。攻撃者は、実在の人物や製品の画像を使用して偽のソーシャル メディア アカウント プロファイルを作成し、被害者を騙して機密情報を開示させたり、偽のオファーに対して料金を支払わせたり、マルウェアをダウンロードさせたりする可能性があります。

ソーシャルメディアフィッシング攻撃の例(Verizon)

次のヒントで自分を保護してください:提供されたリンクをクリックしたり情報を送信する前に、プロファイルのユーザー アカウント ハンドルを確認してください。アカウントは確認されており、期待されるスペルを使用していますか?ハンドルが疑わしい場合は、そのアカウントとやり取りしないでください。

ブラウザフィッシング

悪意のある攻撃者によって展開されるブラウザベースのフィッシング攻撃戦略は複数あります。

ブラウザインザブラウザ (BitB) 攻撃は、偽のブラウザウィンドウを利用して、ユーザーに正当なサイトを操作していると信じ込ませます。このシミュレーションされたブラウザ ウィンドウは、サイトを複製するために HTML と CSS を使用して実際のブラウザ内でホストされます。この手法では通常、シングル サインオン ウィンドウを複製して、ユーザーにログイン資格情報を提供するよう誘導します。

次のヒントで自分を保護してください:ウィンドウのサイズが変更されない場合は、偽のウィンドウである可能性があり、懸念される原因となります。

ブラウザ内アーカイブ (AitB) は .zip ドメインを悪用し、信頼できるファイルをブラウザで直接開いているとユーザーに信じ込ませます。一度開くと、ユーザーは偽のアーカイブを操作するように求められ、マルウェアのダウンロードや偽のログイン ページ攻撃が誘発される可能性があります。

次のヒントで自分を保護してください: .zip Web サイトのドメインには疑いを持ち、不明な送信者からのリンクをクリックしないでください。

「スプレー&プレイ」フィッシング

「スプレー&プレイ」タイプのフィッシング攻撃は、少数の被害者がその計画に引っかかるだろうという想定のもと、広範囲の受信者をターゲットにします。この種の攻撃は、多くの場合、一般的な内容であり、特定の人々のグループ向けにカスタマイズまたはパーソナライズされていません。スプレーアンドプレイフィッシングは、その一般的な性質によりスピアフィッシングサイバー攻撃ほど効果的ではありませんが、それでも被害者に深刻なリスクをもたらす可能性があります。

次のヒントで自分を守りましょう: 文法上の間違い、タイプミス、疑わしいリンクが含まれるメッセージは避けてください。

スピアフィッシング

スピアフィッシング サイバー攻撃は、特定の個人または少人数のグループをターゲットに高度にカスタマイズされています。こうした攻撃は多くの場合、オンラインで収集された個人に関する情報を悪用し、複数のチャネルを通じて受信者を標的とします。この情報は、ソーシャル メディア アカウント、企業の Web サイト、データ仲介サイトなど、さまざまなソースから収集できます。攻撃者は、メッセージの信憑性を高めるために、信頼できる情報源になりすますこともあります。

スピアフィッシングは高度にパーソナライズされているため、受信者が詐欺に騙され、認証情報などの機密情報を共有したり、悪意のあるソフトウェアをダウンロードしたりする可能性が高くなります。

このヒントで自分を守りましょう:自分自身や家族についてオンラインで共有する内容を制限しましょう!可能な場合はソーシャル メディア アカウントを非公開にし、オンライン上にある機密情報やデータを削除するサービスを検討してください。

Bitwardenでフィッシング詐欺を認識し、対策しましょう

フィッシング攻撃には、電子メール、SMS、電話、ソーシャル メディア、ビデオ通話など、さまざまな形式があります。こうした攻撃を認識し、自分自身を守るための予防策を講じることで、誰もがオンラインでより安全に過ごすことができます。

残念ながら、最も熟練したセキュリティ専門家でもフィッシング攻撃に騙される可能性があります。Bitwarden を使用すると、次の機能により強化されたフィッシング保護を活用できます。

  • フィッシング耐性認証のためのパスキーサポート

  • ログインに関連付けられた信頼できるサイトのみで資格情報を自動入力する

  • 保存したログイン項目から関連するウェブサイトを直接起動する

さらに、アカウントごとに一意のパスワードを生成し、エンドツーエンドで暗号化された Bitwarden パスワード マネージャーに保存することで、全体的なセキュリティ体制を強化します。今すぐ無料アカウントを作成するか、無料のビジネス トライアルを開始してください

セキュリティのヒントパスワード マネージャー個人向けビジネス
Back to Blog