2022 年 10 月 18 日 編集部記事

今年のサイバーセキュリティ啓発月間のテーマ「See Yourself in Cyber」は、「個人と組織がサイバー犯罪から身を守る方法」に焦点をあてています。その重要なステップのひとつが、フィッシング詐欺を見分け、報告する習慣について学ぶことです。

フィッシングは目新しいものではありません。しかし手法は常に進化を続けています。今日では自動化やその他の高度な技術が駆使され、規模も拡大しており、被害者がより的確に狙われるようになっています。そして手法にかかわらず、フィッシング攻撃の目的はどれもほぼ同じです。それは、ユーザに偽物の Web サイトを訪問させ、ログイン情報などといった個人情報を収集し、金銭の収奪やマルウェアの配布を行うことです。フィッシングで盗まれた情報の利用方法としては、ダークウェブでの販売や、ネットワークリソースへのアクセス、詐欺、個人情報窃盗などがあります。

攻撃者は、信頼できる個人や組織になりすましてユーザを騙します。最近、米国とニュージーランドで流行っているフィッシング攻撃では、求職者のデバイスに Cobalt Strike ビーコンがインストールされ、リモートアクセスが行われるという悪質な手法が使用されています。またここ数週間で発された IRS（内国歳入庁）の警告によれば、財務情報や個人情報を盗み出そうとする目的で、IRS の形式を模倣したテキストメッセージによるフィッシング攻撃が急激に増加しているとのことです。

フィッシング攻撃の手口は、個々にカスタマイズされたものに変化してきています。通常のフィッシングでは、正規の組織や個人を装った不正なメールが大量に送信されるのに対し、スピアフィッシングでは、特定の人物や組織を念頭に置いて内容が詳細にカスタマイズされており、詐欺であると気づくことが難しくなっています。フィッシングの自動化ツールや、人々が個人情報を投稿する Web 上の場所（SNS など）を詮索するプログラムにより、攻撃者がスピアフィッシングの内容を工夫するための情報収集がさらに容易化、加速しています。このような攻撃は労力を必要としますが、成功率も高くなる傾向にあります。

残念ながら、インターネットを利用していれば、いつでもフィッシングの標的になる可能性があるのが現実です。そのため、ユーザひとりひとりがフィッシングの兆候を見極めて阻止することが重要です。

• 上司や同僚からの連絡に、通常と異なる点がないか注意する。
• 誤字脱字や文法の間違いは、メールやテキストの送信元が偽物であると見分けるヒントであるため、注意する。
• 送信者のメールアドレス（または電話番号）を確認し、正規の送信者からのメッセージであるかどうか判断し、おかしいと感じたら削除する。一方で、使用しているドメインが適切な保護（DNS フィルタリングなど）を受けていない場合、攻撃者はメールアドレスを偽装することができるという点も注意する。
• 一般的に、文中のリンクをクリックすることは避ける。クリックする場合も、必ずドメインを確認し、訪問したいサイトと同一であることを確認する（Web サイトのアドレスは、常に手動で入力する方が安全）。
• 見知らぬ送信者からのファイルは「絶対に」ダウンロードしない。
• 不審なメールは、IT 部門やセキュリティ部門に転送し、詳しく調べてもらう。

クライアントの保護を強化したい MSP や MSSP は、ウォッチガードと提携することで、フィッシング保護を自動化し、エンドユーザをリアルタイムで教育するハードウェアやソフトウェアソリューションを導入できます。ウォッチガードの Firebox デバイスとエンドポイントソリューションは、DNS レベルの保護とコンテンツフィルタリングを提供しています。また、従業員が悪意のあるリンクをクリックした場合、フィッシング攻撃や防止のためのベストプラクティスに関する教育を提供するリソースに、即座にリダイレクトさせることができます。さらに、ウォッチガードの Unified Security Platform™ は、ブロックされた各攻撃について正確な分析を行い、それを IT 管理者や MSP に提供して文脈を把握させるため、内部での対策に役立てることができます。

しかし、個人がフィッシングを阻止することは、適切な警戒から始まります。行動する前に考えることが大切です。軽率な 1 回のクリックが、個人情報や会社の重要なデータを危険にさらす可能性があることを肝に銘じましょう。フィッシングのメールやメッセージの多くは、緊急性を強調している場合が多くあります。すぐに行動を起こすよう促す連絡には注意が必要です。念には念を入れましょう。メッセージが正当なものかどうか判断ができない場合は、一度立ち止まり、第三者の意見を求めましょう。

フィッシングの試み、なりすまし、または被害に遭ったことを報告するには、www.ic3.gov にアクセスして苦情を申し立てることもできます。情報の保護に関する詳細については、StopRansomware.gov のページをご覧ください。