過去1年でフィッシング攻撃は劇的に増加した。攻撃者は、絶えず手法を洗練させ、しかも成功を収めた攻撃を共有して利用している。さらに、より効率的に攻撃を行い攻撃数を増やすため、ダークウェブにあるマルウェア・アズ・ア・サービス(MaaS)も活用。事実、サイバー攻撃の91%、およびその結果として発生するデータ漏えいは、スピア型フィッシングメールが起点となっているのだ。

フィッシングの見分け方 - 10のポイント

英国のTVライセンスに関するメールの例:正規のメールとフィッシングメールは非常に見分けがつきにくい

⇒ PDFのダウンロードはこちら

このようなフィッシング攻撃を防ぐためには、フィッシングメールであるかどうかを見分けることが重要だ。それには次のような10のポイントが挙げられる。

  1. 何か怪しい:メールの内容が何か変だ。話がうますぎる。このような場合は、おかしいと思った直感に従う。
  2. 宛名に個人名がない:フィッシングメールは、しばしば個人名でなく、「お客様」など一般的な宛名を使用する。個別の名前を入力する必要がないので、サイバー犯罪者には時間の節約になるのだ。
  3. 正規のサイトに見せかけたサイトへのリンクを含み、機密データの入力を促す:このような偽りのサイトは本物と見分けにくいことが多いので、個人情報や機密データは、むやみに入力しない。
  4. 個人に特有の情報を含む、予期しないメール:役職、前職、趣味などは、LinkedInなどのソーシャルネットワークサイトから拾い出すことができるので、本物と区別のつきにくいフィッシングメールを作成することができる。
  5. 不安をあおる文面:アカウントがハッキングされたなど、不安をあおるような文面でユーザーに危機感を持たせ、普段なら入力しないはずの個人情報などを入力させようとする。

残り5つのポイントについては、本稿で提供するPDFを参照してほしい。なお同PDFでは、過去数年間に渡るフィッシングの進化について考察し、その仕組みと特定方法を解説している。さらに、こうした進化したフィッシング攻撃に有効な高度なセキュリティテクノロジーの導入と、フィッシング脅威に関する従業員トレーニングを組み合わせた”マルチレイヤー防御”についても紹介。セキュリティ対策担当の方は、ぜひご一読いただきたい。

また、同PDFを提供するソフォスのサイトには、フィッシングメールを見分けるトレーニングができるゲームもあるので(日本語版)、興味を持った方はぜひ挑戦してみてほしい。成績上位者には賞品も用意されている。

提供レポートのご案内

フィッシングにご注意
大きな犯罪ビジネスであるフィッシング。
罠にはまらないために。

≪目次≫

  • スパムより深刻な被害
  • 大きな犯罪ビジネス
  • 効率性と生産性の向上
  • フィッシングの仕組み
  • フィッシングを見分ける方法
  • フィッシングとの闘い
  • フィッシングの見分け方 - 10 のポイント

>> PDFのダウンロードはこちら

[PR]提供:ソフォス