フィッシング攻撃
Phishing attack
フィッシング攻撃(Phishing attack)とは
フィッシング攻撃とは、実在する送信元になりすまして、ID/パスワード、クレジットカード情報といった個人情報を盗み取るサイバー攻撃です。
主な手口は、偽の電子メールやSMS(ショートメッセージ)を送りつけ、「アカウントがロックされました」といった緊急性を煽る内容でユーザーの不安を煽り、本物そっくりの偽サイト(フィッシングサイト)へ誘導します。そこで情報を入力させることで、金銭の詐取や個人情報の悪用、不正アクセス、マルウェア感染など深刻な被害を引き起こします。
フィッシング攻撃の主な手口
ビジネスメール詐欺(BEC)
企業の経営者や取引先になりすまし、経理担当者などに偽の送金指示を送ることで、直接的な金銭被害を狙います。
スピアフィッシング攻撃
特定の個人や組織を標的に、事前に調査した業務内容や取引関係者などの情報を悪用して騙す手口です。
スミッシング(Smishing)
SMSを利用したフィッシング攻撃です。宅配の不在通知などを装い、不正なアプリのインストールやフィッシングサイトへ誘導します。
ビッシング(Vishing)
電話(音声)を利用した手口です。サービスの担当者などを名乗り、パスワードや個人情報を聞き出します。
主なフィッシング対策
多要素認証(MFA)を導入する
利用しているすべてのオンラインサービスで多要素認証を有効にしましょう。たとえパスワードが盗まれても、追加の認証がなければログインできないため、被害を防ぐ確率が上がります。
パスキー認証を導入する
パスキー認証はパスワードを用いない認証方式のため、パスワード漏洩のリスクがありません。また、アクセス先が正規のサイトであるかを確認する仕組みを備えているため、フィッシングサイトに対して認証してしまうことはありません。
ソフトウェアを常に最新版に更新する
OS、ブラウザ、セキュリティソフトウェア等は、常に最新のバージョンに更新してください。これにより、既知のフィッシングサイトに対する警告画面が表示されるようになり、マルウェアへの脆弱性も修正されます。
フィッシングメール検知機能のあるメールセキュリティサービスを導入する
不正なアドレスを自動で検知し、迷惑メールに振り分けるメールセキュリティサービスを導入します。フィッシングメール開封によるマルウェア感染や機密情報の入力といったインシデントを未然に防ぎ、セキュリティを強化できます。
標的型攻撃メール訓練サービスで日頃から訓練する
特に標的型メール攻撃では、本物のメール同様の精緻さでフィッシングメールが届くため一般のユーザーが看破することは難しくなっています。このため、不審なメールを開かないための訓練と、開いてしまった後の訓練が必要です。標的型メール訓練サービスではフィッシング攻撃のトレンドに対応したリアルな訓練が可能です。
常に情報源を確認し、アクセスは正規の手順を踏む
怪しいと思ったメール内のリンクをクリックしたり返信しないのはもちろんのこと、一見怪しくなさそうなメールでも注意が必要です。オンラインサービスを使うときは、決められた正規の手順でのみアクセスすることが望ましいです。
安易に個人情報・機密情報を入力しない
パスワード、クレジットカード番号、銀行口座情報などを入力する際には、正規のWebサイトやアプリであると確認できる場合のみ入力するようにしましょう。
よくある質問
シングルサインオンサービス「CloudGate UNO」のフィッシング対策について教えてください
CloudGate UNOにはフィッシング攻撃を受けても被害を防ぐ対策を備えています。
- パスキー認証によるパスワードレス認証
指紋・顔認証やセキュリティキーを利用した、パスワード不要の認証方式です。パスワード自体を入力しないため、パスワードが盗まれるリスクそのものがありません。さらに、正規サイトでしか認証が作動しない仕組みのため、フィッシング攻撃に対して極めて有効です。 - デバイス証明書による端末制限
事前に登録・許可された端末以外からのアクセスを遮断する仕組みです。万が一、IDとパスワードが漏洩しても、証明書のない攻撃者の端末からは社内システムへログインさせません。また、正規サイトを判別する特性があるためフィッシング攻撃への有効な対策です。 - 柔軟なアクセス制限
IPアドレス・時間・サービス単位でアクセスを細かく制御できます。例えば「機密情報を扱うサービスへのアクセスは、平日の日中に社内からのみ許可する」といった設定が可能です。これにより、不審なアクセスを遮断し、セキュリティを向上できます。
