ログイン情報や金融関連情報など、企業や個人が持つ重要データが標的となるフィッシング攻撃。インターネットがもたらす利便性と引き換えに、私たちは多様化かつ巧妙化するフィッシング攻撃のリスクに常にさらされています。
企業のシステム管理者としては、従業員が業務用の端末からフィッシングサイトにアクセスして被害に遭うことを防ぐ必要があります。個人情報だけでなく、会社の機密情報などの漏えいにもつながりかねないためです。
今回は、フィッシング攻撃の概要や種類、企業におけるフィッシング攻撃への対策方法についてご紹介いたします。
フィッシング攻撃とは
フィッシング攻撃とは、インターネットを介して個人情報や企業の機密情報などの価値ある情報をユーザーから盗み出すサイバー攻撃の一つです。
フィッシング攻撃には、オンラインバンキングやオンラインショッピングなどの偽サイトが使われることが多く、メールやSMSなどからユーザーを偽サイトへと誘導します。従来、これらのメールやSMSは英語表記や不自然な日本語表記のものが大半でしたが、近年は本物と見分けがつかないほど巧妙に似せられているものも増えてきました。
フィッシング攻撃が招く事態
フィッシング攻撃を受けた場合、まずはユーザーのログイン情報やクレジットカード情報が盗まれます。そして、アカウントの乗っ取りや不正な送金、預金引き出し、クレジットカード情報の悪用などへと発展することが一般的です。さらに抜き出された情報が攻撃者間で共有され、被害が拡大するケースも少なくありません。
フィッシング攻撃の被害はユーザーだけではなく事業者に及ぶこともあります。
たとえば何らかのサイトを運営している事業者がユーザーのアカウントを乗っ取られた場合、その事業者は関係者から損害賠償請求をされる可能性があります。また、仮に金銭的な損害が発生しなかった場合でも、フィッシング攻撃を受けた事実や被害の範囲によっては、事業者のセキュリティ対策の脆弱さが露呈され、企業イメージの失墜にもつながりかねません。
フィッシング攻撃の種類
さまざまなフィッシング攻撃の中でも特に多いケースをご紹介します。
メールフィッシング
メールフィッシングは、数あるフィッシング攻撃の中でも最も一般的なスタイルです。「不正なサインインがありました。パスワードをリセットしてください」「荷物をお届けにあがりましたが不在でした」などというメッセージがメールに届き、リンク先をクリックすると偽サイトへとつながったり、不正アプリをダウンロードさせられたりします。
ホエーリング
不特定多数のユーザーに対してではなく、CEO(最高経営責任者)といった企業の幹部や著名人などを攻撃対象とするものです。攻撃者はあらかじめ攻撃対象とする人物について詳しく調査を行い、巧妙な手口を使って機密情報や金銭を騙し取ります。
また、従業員の情報を入手して次の犯罪に使用することもあります。
スミッシング
スマートフォンや携帯電話のSMS(ショートメールサービス)を使用するものです。スミッシングでは、攻撃者がeコマースサイトや金融機関になりすましたメッセージをユーザーのSMSに送信し、メッセージにある偽サイトのURLにアクセスさせて個人情報やクレジットカード情報を盗み取ります。
近年、SMSはオンラインサービスの認証に使用されることが多く、ユーザーは記載されたURLに違和感なくアクセスしやすい傾向があります。そのため、フィッシング攻撃の中でも増加傾向にあるスタイルです。
ビッシング
ボイスフィッシング(Voice Phishing)の略で、メールやSMSではなく、電話の音声メッセージを使用するものです。攻撃者が金融機関のコールセンターなどを装い、携帯電話や固定電話などに電話をかけ、個人情報を求めます。
電話は実際に人がかけることもあれば、自動音声通話の場合もあります。また、留守番電話に伝言を残し、折り返し電話をするように求めるなど手口はさまざまです。
スピアフィッシング
不特定多数ではなく、特定の人物を標的にして詐欺を仕掛けるものです。攻撃者は事前にターゲットについて調査をし、ターゲットが反応する可能性が高い偽メールを作成・送信します。
たとえばターゲットが日常的にやりとりしている人になりすますなど、不特定多数に送るメールと比較すると非常に精度が高い点が大きな特徴です。
フィッシング攻撃への対策方法
企業がフィッシング攻撃への対策をするためには、自社だけではなく、従業員や顧客を守るという観点が求められます。
ここからは、企業がとるべきフィッシング攻撃への対策方法をご紹介します。
自社サイトやシステムのセキュリティ対策
フィッシング攻撃に遭わないためには、自社サイトやシステムのセキュリティ対策も必須です。たとえば自社サイトであれば、SSLサーバー証明書を導入しサイトの暗号化を行います。また、顧客やユーザーのログイン認証が必要な場合は認証の強化も必要でしょう。
セキュリティソフトを利用すれば、自動的にフィッシング詐欺の可能性があるメールを検知したり、リンク先の安全性のチェックを行ったりすることも可能です。
社員への注意喚起
自社でしっかり対策をとっていても、社員がフィッシング攻撃に遭う可能性があります。社員に対して、フィッシングへの注意喚起を促す情報を発信することも大切です。たとえば、近年のフィッシング手口の紹介や、フィッシング被害事例についてなどを共有すると良いでしょう。
社員へのセキュリティ教育
自社をフィッシング攻撃から守るためには、社員一人ひとりへのセキュリティ教育が欠かせません。勉強会やeラーニングを実施し、ITリテラシーを高めましょう。
具体的には、フィッシング攻撃の内容や、常日頃から送られてくるメールに対して疑いの意識を持つこと、安易にクリックをしないなどの具体的な対策の周知徹底などが挙げられます。また、フィッシング攻撃の種類や内容は常に変化し続けます。専任の担当者を配置し、最新の情報を把握しながら必要に応じてその都度、社員に教育を行うことが大切です。
まとめ:フィッシング攻撃について把握し脅威に備えよう
フィッシング攻撃には不特定多数を狙ったものから、特定の企業、さらには企業の中の個人を狙ったものまであり、その手口は巧妙化し続けています。従業員を守るという視点を持ちながら常に最新の情報を確認し、その都度、求められる対策を講じていきましょう。
伊藤忠テクノソリューションズが提供する法人向けクラウドセキュリティプラットフォーム「Lookout(ルックアウト)」は、フィッシングはもちろん、マルウェアやOSの脆弱性、不正ネットワークなどのリスクから業務用端末を守ります。
スマートフォンやタブレット、個人端末の業務利用の導入を検討されていたり、すでにそれらを導入しているもののセキュリティ面で不安があったりする場合におすすめです。資料請求や詳細については、CTCまでお気軽にお問い合わせください。