フィッシングとは何ですか?
フィッシングは、攻撃者が正規のウェブサイトの説得力のある複製(しばしば完璧な複製)を作成し、被害者を騙してそこに認証情報を入力させるソーシャルエンジニアリング攻撃です。被害者がフォームを送信した瞬間に、攻撃者はユーザー名、パスワード、および第二要素を取得し、数秒以内に本物のアカウントを乗っ取るために使用します。
この言葉は被害者を餌(通常はメール)で「釣る」比喩から来ています。攻撃者がしばしばphone番号(SMSフィッシング、または「スミッシング」)や専門的に見えるインフラを使用することを強調するためにスペリングが変更されました。
フィッシングが今でも第1位の脅威である理由
今日の大規模なアカウント侵害のほとんどは、ハッキング、パスワードクラッキング、暗号化の回避を伴いません。人間が偽サイトにパスワードを入力することが関わっています。フィッシングは:
- 安価 — 攻撃者はVPSと偽装ドメインのコストで数百万のメールを送信できます
- フィルタリングが困難 — 現代のキットはドメインを回転させ、正規のホスティングを使用し、リアルタイムでフィルターに適応します
- 効果的 — セキュリティを意識したユーザーでも、よく作られたターゲット攻撃(スピアフィッシング)に引っかかります
- スケーラブル — 単一の成功したフィッシングは、パスワードの使い回しを通じて数十の関連サービスへのアクセスをもたらすことが多いです
2024年のVerizon Data Breach Investigations Reportでは、フィッシングが全侵害の36%以上で初期アクセス経路であったことがわかりました。これは他のどの単一原因よりも多いです。
現代のフィッシングの仕組み
フィッシングは2000年代の「ナイジェリアの王子」メールをはるかに超えて進化しています。現代のフィッシング攻撃には通常以下が含まれます:
1. 説得力のある餌
通常はメール、テキスト、またはチャットメッセージで緊急性(「アカウントが停止されます」)、権威(「Microsoftセキュリティチーム」)、または好奇心(「誰かが写真であなたをタグ付けしました」)を作り出します。スピアフィッシングは、LinkedIn、漏洩データ、または以前の通信から引き出した個人詳細でこれをさらに進めます。
2. 完璧な偽サイト
攻撃者は、ターゲットサイトのHTML、CSS、JavaScriptを複製する既製のフィッシングキットを使用します。多くのキットはサービスとして販売され(フィッシング・アズ・ア・サービス)、動作するダッシュボードとカスタマーサポートを提供しています。
3. 2FA用のリアルタイムプロキシ
危険な部分:現代のキットはパスワードを取得するだけではありません。入力したすべて(TOTPコードを含む)を数秒以内に本物のサイトに転送する中間者プロキシとして機能し、ほとんどの2FAをバイパスします。この技術はadversary-in-the-middle(AiTM)と呼ばれ、Evilginx2やModlishkaなどのツールで使用されています。
4. セッショントークンの盗取
プロキシ経由で認証すると、攻撃者はセッションクッキーを取得し、パスワードを変更した後でもログイン状態を維持できます。これが、フィッシング対応にパスワード変更だけでなく、アクティブセッションの取り消しが含まれる理由です。
実際にフィッシングを阻止するもの
ハードウェアセキュリティキー(FIDO2 / WebAuthn)
これは設計上フィッシング耐性がある唯一の防御カテゴリです。FIDO2キーでログインすると、キーは認証を要求するサイトの正確なドメインを暗号学的に検証します。偽サイトは視覚的にどれほど完璧であっても、異なるドメインを持つため、キーは応答を拒否します。暗号学的ハンドシェイクは単純に完了しません。
Googleは2017年に85,000人以上のすべての従業員にYubiKeyを義務化し、その後数年間で会社のアカウントに対するフィッシング攻撃の成功例がゼロであったと報告しました。
パスキー
パスキーはFIDO2の消費者向けに進化したものです。同じドメイン結合暗号化を使用し、iOS、Android、macOS、Windowsに組み込まれています。使用するサイトがパスキーをサポートしている場合、有効化するとそのアカウントはフィッシング耐性を持ちます。
パスワードマネージャー
パスワードマネージャーは、保存された正確なドメインでのみ認証情報を自動入力するため、第二の防御線です。paypal.comの代わりにpaypaI.com(大文字のI)にアクセスした場合、マネージャーは静かにフォームの入力を拒否します。この拒否は何かがおかしいという大きな警告です。
メールとDNSフィルタリング
メールプロバイダーはDMARC、SPF、DKIMを使用して偽装送信者アドレスを検出します。ほとんどの現代のプロバイダーは明らかな試みを捉えますが、ターゲット攻撃は依然として通り抜けます。メールクライアントの「フィッシングを報告」ボタンを有効化して、フィルターの改善に貢献してください。
注意すべき警告サイン
ログイン、確認、または緊急行動を求めるメッセージを受信したとき:
- 緊急性と脅し — 「アカウントが24時間以内に閉鎖されます」
- 一般的な挨拶 — 名前ではなく「お客様へ」
- 類似ドメイン —
paypaI.com、app1e.com、secure-microsoft-login.net - 予期しない添付ファイル — 特に
.zip、.html、または.pdfファイルで表示するためのログインを求めるもの - 文法や書式エラー — 大企業はメールを校正します
- リンクの不一致 — リンクにカーソルを合わせて、送信先がテキストと一致するか確認してください
何かがおかしいと感じたら、メールを閉じてください。手動でサイトに移動してください。本当に問題がある場合、通常のワークフローでログインしたときに表示されます。
引っかかってしまった場合の対処法
迅速に行動してください。攻撃者は数分以内に認証情報の使用を開始するため、速度が重要です。
- 別のデバイスでパスワードを即座に変更する(例:ノートパソコンで引っかかった場合は携帯電話で)
- アカウント設定ですべてのアクティブセッションを取り消す — これにより盗まれたセッショントークンを現在使用している人をキックアウトします
- 2FAを有効化する(まだ有効でない場合)、可能であればハードウェアキーまたはパスキーを使用してください
- 不正な活動をチェックする — 送信されたメール、最近のログイン、請求の変更、新しい転送ルール
- 影響を受けた機関に通知する(金融または職場のアカウントの場合)
- 同じパスワードを使用した他のアカウントをチェックする — パスワードを使い回していないと確信していても、チェックしてください
まとめ
フィッシングはテクノロジーをバイパスして人間をターゲットにするため成功します。最良の防御策は3つの層を組み合わせることです:パスワードマネージャー(間違ったドメインでの自動入力を拒否)、フィッシング耐性のある2FA(本物のドメインに結び付くハードウェアキーまたはパスキー)、健全な疑い(メールリンクから絶対にログインしない)。
最も重要なアカウント(メール)でまず3つすべてを有効化してください。そこから、デジタルライフの残りの部分が意味のある安全性を得ます。