フィッシング攻撃は、一般のインターネットユーザーが出くわす機会が最も多いサイバー攻撃だ。ランサムウェアをはじめとするさまざまな攻撃が登場している現在でも、フィッシングは以前として世界のサイバー脅威の大部分を占めており、その手法も多様化している。Tripwireがこのほど「6 Common Phishing Attacks and How to Protect Against Them」において、一般的とされる6種類のフィッシング攻撃について、その概要と有効な防御方法を解説しているので、そのポイントを紹介しよう。

  • 6 Common Phishing Attacks and How to Protect Against Them|Tripwire

    6 Common Phishing Attacks and How to Protect Against Them|Tripwire

Tripwireが紹介しているフィッシング攻撃は次の6種類。

  • Deceptive Phishing(欺瞞的フィッシング) - 実在する正当な企業や組織に成りすまして標的の個人情報や資格情報などをだまし取る。最も一般的なフィッシング攻撃
  • Spear Phishing(スピアフィッシング) - 特定の標的に狙いを定め、名前や会社、役職、職場の電話番号などを悪用して攻撃メッセージをカスタマイズすることで送信者を信じ込ませる
  • Whaling(ホエーリング) - 経営者や幹部などの権力のある人物を標的として、組織の金銭や機密情報をだまし取ったり、従業員の資格情報を入手したして次の攻撃に悪用する
  • Vishing(ビッシング) - 電子メールではなく、音声電話をかけて金銭や機密情報をだまし取る。近年ではVoIP(Voice over Internet Protocol)を利用してさまざまなエンティティを模倣する手法も横行している
  • Smishing(スミッシング) - 携帯電話やスマートフォンのSMSを悪用して、個人情報をだまし取ったり、悪意のあるリンクをクリックさせたりする
  • Pharming(ファーミング) - DNSキャッシュポイズニングなどを悪用して標的のPCにおけるIPとドメイン名の関連付けを書き換え、悪意のあるWebサイトに誘導する

いずれも一般的には「フィッシング」として分類される攻撃だが、それぞれの手法で主な目的や対象とする標的が少しずつ異なっている点は注目に値する。Tripwireは、それぞれの攻撃が実際に行われた事例や、組織を守るために有効とされる防御方法などが詳しくまとめられている。

サイバー攻撃の手口は年を追うごとに多様化・複雑化している。被害を回避するには、常に最新の動向をチェックし、適切な対策が行えているのかを継続的に確認する体制が必要となる。