mailinspector’s blog

安全なメールへのご案内

クリック一回で人生がフィッシング被害に遭う

[URLフィッシング] クリック一回で人生がフィッシング被害に遭う

 

 

1. 概要

現在、毎日約150億件のスパムメールが送信されており、80%以上の組織が何らかの時点でフィッシング攻撃を受けたと主張しています。ユーザーのサイバーセキュリティ意識が高まっているにもかかわらず、クリックにより全フィッシングメールの3分の1が開封され、データ侵害の90%が発生しています。そのため、ほとんどのITチームがフィッシング攻撃を懸念事項と見なしています。以下の本文を通じて、URL(Uniform Resource Locator)フィッシングが何であり、どのように機能するのか、URLフィッシング攻撃を識別し、どのような対策を取れば組織を保護できるのか、予防方法とソリューションについて学びましょう。

 

2. URLフィッシングとは?

 

ITU [7.2.4]によると、攻撃者がメールに含まれた悪意のあるURLやファイルを利用して、フィッシングページにユーザーのアカウント情報(ID、パスワード)を入力させ、個人情報を盗むことを指します。見た目には、ウェブサイトは合法的で親しみやすく見えます。

 

3. 攻撃の種類と被害事例

 

  • 最も基本的な攻撃の形態

ハッカーは、一見合法的に見えるメールをユーザーに送信し、受信したメール内に含まれる会社の公式ウェブサイトのように見えるリダイレクトされるフィッシングサイトのリンクをクリックさせます。被害者が個人や金融情報を入力すると、敏感なデータが盗まれる仕組みです。一部の偽のURLは、個人情報を入力させた後、合法的なサイトにリダイレクトされるため、被害者は自分がだまされたことにすぐには気付かない場合が多くあります。

 

  • 被害事例

偽の組織または政府のメール: 信頼性のある政府や組織からのメールに見せかけてユーザーにメールを送信します。ユーザーが疑うことなくメールをクリックするよう促すために、コミュニティの脅威に関する警告、通知や更新、購読を促します。さらに、メールアドレスや身元の盗用に使用できる特定の医療情報を要求します。実際の事例として、政府機関と主張し、住宅ローンの再融資に関する情報をアクセスするリンクをクリックするように促す事件がありました。

 

銀行口座、クレジットカードなどの金融アプリに関するメール警告: 信頼性のある金融機関や銀行からのメールに見せかけて、パスワード盗用のような疑わしい活動について警告し、リンクを含むメールを送信します。ユーザーがクリックすると、パスワードの変更を求め、個人情報を盗む手口です。実際の事例として、[Sony Bank]から「資金移動およびATM停止案内」という件名の巧妙なメールを送信し、返信がない場合は取引制限や口座解約を示唆し、ユーザーを継続的に説得しようとしました。

 

偽の広告: 組織が良い商品を提供しているというメールを送信し、ユーザーがリンクをクリックすると、取引を確認させたり、パスワードの変更を求める場合があります。たとえば、Google検索で詐欺サイトに不審なプロセスエラーや特殊文字が含まれていることがあります。

 

4. 予防方法とソリューション

 

絶えず進化するサイバーセキュリティの脅威の中で、URLフィッシングは、攻撃者がユーザーに機密情報を入力させることで、ユーザーの大切な個人情報を盗むために行われる巧妙で高度な攻撃手法です。メールを使用した業務およびコミュニケーションの方法が私たちの日常生活に深く根付いているため、このような攻撃を防止し対応する方法を理解することが不可欠です。個人と組織がURLフィッシングを防ぐために実施すべき効果的な予防策とソリューションについて見ていきましょう。

 

  • 国際セキュリティ標準の遵守

URLフィッシング攻撃に対するセキュリティ要件と対応策は、メールセキュリティの国際標準である[8.2.4 URLフィッシング攻撃に対するセキュリティ要件][9.2.4 URLフィッシング攻撃のための対策]で定義されています。

 

この標準によれば、複数のURLを経由して最終的に個人情報を入力させるフィッシングサイトに誘導される場合、その最後のURLを追跡することが推奨されています。このようにして潜在的な個人情報の漏洩が疑われる場合、すべてのURLの最終目的地を追跡し、継続的に監視することが対策となります。また、IDやパスワードなどのアカウント情報を入力させるテキスト入力ボックスがあるかどうかを確認するために、HTMLソースコードを分析することも有効な対策です。入力された情報が第三者のサーバーに送信されているかどうかも確認する必要があります。

 

  • ユーザー教育

定期的な教育セッションを通じて、ユーザーが疑わしいメール内のリンクに注意を払うよう支援することができます。一般的なフィッシング攻撃のタイプを識別すること、クリックする前にURLを慎重に確認すること、自発的な個人情報の入力要求を避けることについての教育が必要です。

フィッシング保護機能を提供するChromeFirefoxなどのブラウザの使用が推奨されます。また、HTTPS EverywhereやuBlock Originのような拡張機能を使用することも、セキュリティをさらに強化する良い方法です。

  • 定期的なソフトウェアの更新

ソフトウェアやシステムを定期的に更新することで、潜在的なリスク要因を防ぎ、フィッシング攻撃を効果的に防ぐことができます。対象には、オペレーティングシステム、ブラウザ、メールクライアント、およびセキュリティソフトウェアの更新が含まれます。

 

5. 結論

URLフィッシングは、今日のデジタル世界で持続的な脅威として存在しています。悪意のあるURLや添付ファイルを通じて接続されるフィッシングページやウェブサイトを介して個人情報が盗まれないよう、十分な注意が必要です。前述のように、メールセキュリティ標準の遵守、定期的なユーザー教育、安全なブラウザと拡張機能の使用、そしてソフトウェアの更新を通じて、フィッシング攻撃に対して先手を打つことができます。特に、メールセキュリティ標準は国際標準化機構ITU-T)によって採用された信頼できるガイドラインであるため、標準で定義されているセキュリティ要件と対応策を深く理解し、問題の状況に適用することが推奨されます。 このように、さまざまな対応戦略を準備して活用することで、常に身近に存在するフィッシング攻撃のリスクを予防することができます。

 

** 関連コンテンツのおすすめ

 

▶Understanding Social Engineering Email Attacks

Understanding Social Engineering Email Attacks (mailinspector2.blogspot.com)

 

▶Spear Phishing 

[Spear Phishing] Understanding Targeted Attacks and Protection Strategies (mailinspector2.blogspot.com)

 

▶ Spoofing 

[Spoofing] Understanding Email Security and Spoofing (mailinspector2.blogspot.com