Sucuriは2月7日(米国時間)、「New Guide: How to Protect Your Website from Phishing」において、個人とWebサイトをフィッシング攻撃から保護する包括的なガイドを公開した。
フィッシング攻撃のカテゴリー
Sucuriはフィッシング攻撃のカテゴリーとして、以下を挙げている。これらカテゴリーには独自の特性と手法が存在するが、いずれもユーザーをだまして機密情報を窃取するという目的は共通している。
電子メールフィッシング
最も一般的なフィッシング攻撃。信頼できる組織からのメールを装い、被害者に詐欺メールを送信する。多くの場合、メールには機密情報を入力させるWebサイトやマルウェアを配布するWebサイトへのリンクが含まれている。
スピアフィッシング
特定の人物に標的を絞ったフィッシング攻撃。電子メールフィッシングでは不特定多数を標的とするが、こちらは特定の個人または組織が標的になる。メールには事前に調査した標的に関する情報が含まれていることが多い。
捕鯨(Whaling)
経営層を標的としたスピアフィッシング攻撃。主な目的は個人情報の窃取または企業の機密情報の窃取とされる。
URLフィッシング
正規のURLに似せた偽のURLを使用したフィッシング攻撃。区別の難しい偽のドメイン名を使用して被害者を誘導する。
ビッシング(ボイスフィッシング)
電話を使用したフィッシング攻撃。攻撃者は評判のよい(影響力のある)会社の従業員を装って被害者に電話し、個人情報の提供を求める。
スミッシング
ショートメッセージサービス(SMS: Short Message Service)を悪用したフィッシング攻撃。多くの場合メッセージには個人情報の入力を求めるWebサイトへのリンクが含まれる。
Webサイトを保護する包括的ガイド
上記のようなフィッシング攻撃から個人とWebサイト所有者を保護するために、Sucuriはガイド「Phishing Attacks & How to Prevent Them | Sucuri」を公開した。その概要は次のとおり。これら対策は簡単な作業ではないが、適切な知識とツールがあれば対応可能としている。
手法を知る
フィッシング攻撃には共通の兆候として、奇妙な電子メールアドレス、間違ったスペル、緊急の行動喚起、個人情報の要求などが存在する。それらの見分け方をガイドを読んで理解する。
クリックする前に確認する
メールやメッセージに含まれるリンクをクリックする前に安全であるかを確認する。リンクをマウスオーバーする(リンクの上にマウスカーソルを重ねる)ことで表示される本当のリンク先を確認し、安全を確信できない場合はアクセスしない。
オンラインの安全を確保する
安全なWebサイト(httpsで始まるURL)のみを使用する。
安全な通信チャネルを使う
機密情報の通信には常に安全な通信チャネル(TLSなど)を使用する。
ソフトウェアを最新に保つ
すべてのソフトウェアが最新であるかを確認する。これにはWebブラウザ、アンチウイルスソフトウェア、オペレーティングシステム、Webサイト(サーバ側)のソフトウェア、プラグイン、テーマを含む。
多要素認証(MFA: Multi-Factor Authentication)を導入する
多要素認証により追加のセキュリティ層を確保する。この対策により認証情報が窃取されても、不正アクセスを防げる。
Webサイトを定期的に監視する
Webサイトにマルウェアや侵害の兆候がないか定期的に確認する。Webサイトに異常な活動やファイルの変更、不審なメールやメッセージが存在しないかを確認する。
Webサイトに侵害の兆候や不審な活動がみられる場合は、専門家やセキュリティ企業に相談することが推奨されている。フィッシング攻撃により窃取されるさまざまな情報は次の攻撃に悪用されることが多いため、すべてのインターネットユーザーには上記のような対策の実践が望まれている。