Palo Alto Networksコンシェルジュ

コラム

フィッシングとは?
意味、リスク、対策を解説

フィッシングとは?意味、リスク、対策を解説

最終更新日:

インターネットの普及により、個人情報をデバイスに入力する機会が増えてきました。その中で、個人情報を不正に抜き取る「フィッシング」の手口も巧妙化しています。金銭的な被害には遭ったことがなくとも、迷惑メールが送られてきたり、有名なサイトを騙った偽のWebサイトに誘導されたりした経験のある人も少なくないでしょう。現代では、企業も情報抜き取りの標的にされるケースがあるため、従業員への徹底的なインターネットリテラシー教育が必須です。本記事では、フィッシングにおける手口の一例や、フィッシングがもたらすリスクについて解説します。

フィッシングとは何か

フィッシング(phishing)とは、魚釣りを意味する「fishing」と洗練を意味する「sophisticated」から作られた造語です。餌を使って魚を釣るように、信頼できる情報源であることを装って個人情報を盗む行為を表しています。送信元を偽ったメールやSMSを送りつけ、偽のサイトに誘導し、個人情報を入力させる手口が一般的です。以下は盗み取られる恐れのある情報の一例です。

  • 登録ID
  • パスワード
  • 氏名、ユーザーネーム
  • 住所
  • クレジットカード番号
  • ATMの暗証番号

盗まれた情報は、アカウント乗っ取りなどに利用されてしまいます。その結果、銀行口座からお金が奪われたり、ショッピングサイトで勝手に買い物をされたりするなどの被害が発生します。

フィッシングは企業も狙われる

個人だけでなく、企業を標的としたフィッシング攻撃も存在します。取引先や顧客の情報を大量に取り扱うため、企業狙いの攻撃は場合によっては大きな被害をもたらします。例えば、社内ネットワークへアクセスするためのID・パスワードなどを抜き取られた場合、一つの情報で膨大な顧客データが流出する事態になりかねません。

企業に対するフィッシング攻撃の手法とは

フィッシングは、いくつかの種類に分類されます。特に企業を標的とした攻撃は、不特定多数を標的とした攻撃とは異なり、ターゲットに合わせて工夫を凝らしています。そのため、攻撃であると見抜くのは容易ではなく、騙されないようにするのは非常に困難です。巧妙なフィッシング攻撃の中でも、代表的なものをいくつか紹介します。

ラテラルフィッシング

企業や組織で実際に使用されている正規のメールアカウントのIDやパスワードなどの認証情報を何らかの方法で入手し、そのアドレスからフィッシングメールを送信する手法です。外部への攻撃だけでなく、組織内への攻撃にも悪用されます。ラテラルとは横方向を意味するラテン語であり、企業間における横のつながりを利用して被害を増やします。著名な企業や信頼のおける組織のメールアカウントから送信して受信者の警戒を解き、信頼できるアドレスだと誤認させて情報を抜き取るケースが多い傾向です。特に送信者が業務における取引先であった場合、メールを躊躇いなく開封してしまう人は多いでしょう。
ラテラルフィッシングにおいては、既に一つの情報が流出しており、メールアカウントが乗っ取られていることが前提です。そのため、標的に対する情報を事前にある程度取得しており、より本物と見分けのつかないメールで攻撃を仕掛けるケースもあります。また、ラテラルフィッシングに使われた情報は他のラテラルフィッシングに使われることもあり、そうなると被害は拡大し続けるでしょう。

スピアフィッシング

不特定多数の人を狙うのではなく、特定の企業・グループに所属する個人をターゲットとして攻撃を仕掛ける手法です。槍を意味するスピアが語源となっており、特定の魚に狙いを定めて攻撃を仕掛ける行為を表しています。ターゲットを絞って行うため詐欺としての精度も高く、攻撃であると見抜くのは難しいとされています。以下は、ターゲットに合わせた詐欺メール内容の例です。

  • 営業部:取引先からの連絡
  • 人事部:履歴書を添付した採用の問い合わせ
  • 技術部:製品に関する問い合わせ

このように普段の業務でも受け取るような文面を偽装し、なんの疑問も抱かずに添付資料を開くように仕向けます。偽装された資料を開くことによりデバイスがウイルスに感染してしまい、気づかないうちに情報が漏洩していたというケースもあるようです。

PhaaS(Phishing as a Service)

フィッシング詐欺を行うためのツールを、主にダークウェブを通じて提供するサービスの総称です。具体的には、フィッシングメールの送信や偽サイトの作成、サイトへの誘導URL設置、そしてその他の必要なツールなどをサブスクリプションで提供します。この手法は簡単にできてしまうため、現在では素人でも詐欺や攻撃を仕掛けられるようになっているのです。
PhaaSは2021年頃から増加しており、セキュリティ専門企業も警告を広めています。特にフィッシングがメジャーになった要因の一つとして、コロナ禍におけるリモートワークの普及が挙げられます。例えば、社内システムやクラウドサービスなどにおける、ログイン情報を抜き取る手口が横行しているようです。また、自宅勤務において多く利用されるOutlookやOneDriveなどのサービスに酷似したテンプレートを販売しているサービスもあり、判別はますます困難になるでしょう。

フィッシングが企業にもたらすリスクとは

フィッシングが企業に及ぼす影響は、多岐にわたります。企業は一般的な個人よりも扱う情報量が多いため、フィッシング攻撃を受けた際の被害規模が甚大になるケースも珍しくありません。では、実際に攻撃を受けてしまった時にどのようなリスクがあるのか見ていきましょう。

アカウント乗っ取り・情報漏洩

ログイン情報が抜き取られると、メールのアカウントを乗っ取られたり、社内システムへの不正アクセスが行われて内部の情報が漏洩したりする恐れがあります。メールアカウントが乗っ取られると、ラテラルフィッシングへの足がかりにされてしまうでしょう。また、多くの顧客や取引先は個人情報を適切に扱うことを前提として提供しているため、個人情報が第三者に渡ったとなれば大きな損害になります。

自社ドメインを使ったなりすましによるブランド毀損

顧客や取引先に対してアカウント乗っ取りや情報漏洩などの実害が発生すると、企業そのもののブランドイメージが著しく損なわれる恐れがあります。現在のフィッシングは見分けるのが困難ではあるものの、企業のセキュリティ対策が甘いというイメージが根付いてしまうでしょう。
また、ラテラルフィッシングで企業の正規アドレスから取引先などにフィッシングメールが送られた場合、詐欺行為をはたらいているといった誤解を招いてしまうかもしれません。
なお、企業が取り扱う個人情報が流出した際は、基本的に個人情報保護委員会への報告と本人への通知が義務付けられています。それに伴って、企業がそれまで積み上げてきた信用も失うことになりかねないでしょう。

内部システム・財務への被害拡大

社内システムから内部・基幹システムにアクセスされると、業務そのものに影響が出る恐れがあります。特に財務関連のデータが抜き取られると、金銭的な被害が生じるでしょう。フィッシング攻撃から億を超える被害が出ている事例も存在します。

情報システム部門が取るべきフィッシング対策

フィッシングの手口が巧妙化しているからこそ、対策をより強化しなければいけません。その中でも、情報システム部門が取り組むべき対策をいくつか紹介します。

メールフィルタリングとリンクの事前検証(セキュリティゲートウェイ、EDRなど)

フィッシング攻撃を受けないために重要なのは、フィッシングメールを開封しないことです。しかし上記で説明した通り、現在のフィッシングメールは非常に精巧であり、目視で本物かどうかを見分けるのは困難といえます。そこで、セキュリティゲートウェイやEDRの導入が有効です。セキュリティゲートウェイは外部から内部への攻撃を防ぐシステムで、怪しいメールをあらかじめブロックします。EDRは、ネットワークに接続されたPCやサーバーの通信状況を監視し、不審な通信があると管理者に報告を行うシステムです。つまり、監視カメラや、警報のような役割を果たします。この二つのシステムを組み合わせれば、フィルタリング攻撃を受けるリスクは軽減できるでしょう。

関連記事

DMARC/SPF/DKIMによる送信ドメイン認証

ドメイン認証がされていないメールを受信拒否すると、送信者の身元が確かなメールのみを受信できます。ドメイン認証とは、IPアドレスや送信者の署名などによって、送信者の情報を埋め込み、メールの安全性を示す仕組みのことです。メールのセキュリティが重視される現代において、ドメイン認証は「事業者が当たり前に行うべきもの」として認識されつつあります。

多層防御(ゼロトラスト、ファイアウォール強化・UTM導入)

強固なセキュリティを実現するには、多層防御が有効です。単一の防御では突破される恐れがある攻撃も、複数の防御を重ねることで検知・阻止・被害軽減の機会を増やせます。以下では、主な防御レイヤー別に取るべき対策を紹介します。

  • 入口対策
    ウイルスやマルウェア、不正アクセスが内部システムに入り込むのをブロックし、脅威を未然に防ぐための対策です。ウイルス対策ソフトや、ファイアウォール強化、UTM(統合脅威管理:ファイアウォール、侵入検知システム、アンチウイルス、Webフィルタリングなどを統合したシステム)で境界トラフィックを可視化・制御すると、入口段階でのリスクを大きく減らせます。
  • 内部対策
    入口対策で防げなかった脅威に対し、被害の拡大を抑えるための対策です。ゼロトラストの考え方にもとづき、ユーザー/デバイスごとの認証・認可を都度実施し、最小権限・ネットワーク分離(マイクロセグメンテーション)を徹底します。機密データの暗号化、ログ・行動監視(EDR など)で不審な動きを早期に検知し、迅速な対応につなげます。
  • 出口対策
    社内から外部への不正な情報流出や攻撃者サーバーへの不審通信を防ぐための対策です。ファイアウォール/UTMでの送信制御、プロキシサーバの導入、DLP(データ漏えい防止)などを組み合わせることで、入口・内部で食い止められなかった脅威に対する「最後の砦」として機能します。

関連記事

従業員への教育と模擬フィッシングによる訓練

従業員に正しいセキュリティ教育を行い、フィッシングの存在と脅威を周知させて攻撃に備えましょう。そもそも知識が足りていなかったがために、攻撃を受けてしまったという事例もあるかもしれません。正しい知識を身に付けていれば、社用PCに送られてきたフィッシングメールをうっかり開いてしまうリスクもある程度は軽減できます。実践的な訓練も視野に入れ、従業員一人一人のセキュリティ意識を高めることが重要です。

フィッシング詐欺対策なら
パロアルトネットワークス

企業のセキュリティ体制を強化する手段として、外部のセキュリティサービスを導入するという選択肢も存在します。セキュリティ対策の専門家が手がけるシステムを導入すれば、より高い効果が期待できるでしょう。
パロアルトネットワークスでは、ファイアウォールやクラウド型のネットワーク保護サービスなど、さまざまなセキュリティ対策製品・サービスを提供しています。国内・国外で多数の実績を持ち、複数の導入事例がホームページにも記載されています。詳しくは以下のリンクからご覧ください。

Palo Alto Networksコンシェルジュへのお問い合わせ

総合セキュリティ対策に関するご相談は、
お気軽にお問い合わせください。

まとめ

信用できる情報元を騙ってメールを送り付け、偽のサイトに誘導して個人情報を入力させるフィッシングは、今や個人だけでなく企業も標的にされています。大量の情報や資金を取り扱う企業においては、攻撃を受けた際の被害も甚大になることが予想されます。顧客の個人情報流出や、財務システムへの侵入による金銭的な被害は、企業の業務や運営そのものに悪影響を及ぼしかねません。
これらの攻撃を防ぐためには、セキュリティ体制の強化や従業員へのリテラシー教育が求められます。外部セキュリティサービスの導入も視野に入れ、サイバー攻撃の防止に努めましょう。

この記事の執筆者

写真:石塚ちひろ

SB C&S株式会社
ICT事業部
ネットワーク&セキュリティ推進本部
石塚ちひろ

写真:野口 綾香

SB C&S株式会社
ICT事業部
ネットワーク&セキュリティ推進本部
野口 綾香

サイバーセキュリティのマーケティングを担当。
初心者の方にも理解しやすく、役立つ報を発信することを大切にしています。

Plo Alto Networksの
製品資料はこちら

ダウンロード

CONTACT

Palo Alto Networksコンシェルジュではパロアルトネットワークス製品の導入、ご提案に関するお問い合わせをお受けしています。
ディストリビューターであるSB C&Sまでお気軽にお問い合わせください。
お問い合わせ