Select Language : English 日本語

南北アメリカ

ブラジル: English / 日本語 / Português do Brasil
アメリカ: English

ヨーロッパ、中東、アフリカ(EMEA)

EMEA:
(ベルギー, フランス, ドイツ, オランダ, スペイン, アラブ首長国連邦, イギリス)
English / 日本語 / Español / Deutsch / Français
ロシア: English / 日本語 / русский

アジアパシフィック

日本(法人のお客さま): English / 日本語
日本(個人のお客さま): English / 日本語
オーストラリア(NTT Com ICT Solutions): English
中国本土: English / 日本語 / 簡體中文
香港/マカオ: English / 日本語 / 繁体中文 / 簡體中文
インド: English / 日本語
インドネシア: English
韓国: English / 日本語 / 한국어
マレーシア: English
フィリピン(DTSI): English
シンガポール: English / 日本語
台湾: English / 日本語 / 繁体中文
タイ: English / 日本語
ベトナム: English / 日本語

誰もが引っかかってしまうソーシャルエンジニアリング最新のフィッシング詐欺はシステムと教育の組み合わせで防ぐ

フィッシング詐欺やBEC(ビジネスメール詐欺)といった、ソーシャルエンジニアリングの手法を使用したメール攻撃が急増しています。これらは、人間心理の隙を突くため、受け手側もうっかりひっかかってしまうことが多くなっています。こうした攻撃には複数の対策を組み合わせることや、教育によって従業員のセキュリティ意識を高めることが効果的とされています。今回は、NTT Comの総合リスクマネジメントサービス「WideAngle」を例に、フィッシング詐欺対策について解説します。

急増するフィッシング詐欺

フィッシング詐欺は、実在する金融機関やサービスなどに見せかけてIDやパスワードなどの機密情報を盗み出そうとする詐欺で、似たような詐欺は古くからありました。それがインターネットの普及により、メールやWebサイトを利用するようになったことから、「洗練された手口(sophisticated)」と、「釣る(fishing)」を掛け合わせて「フィッシング詐欺(phishing)」と呼ばれるようになりました。現在ではさらに手法が洗練されてきており、企業の経営層や取引先になりすまし送金指示のメールを送る「BEC:Business Email Compromise(ビジネスメール詐欺)」が急増しています。

フィッシング詐欺は、実在するWebサイトにそっくりの偽サイトを用意し、メールを使ってユーザーを誘導、IDとパスワードなどを入力させて、その情報を盗み取るという手法です。この攻撃には人間心理の隙を突くソーシャルエンジニアリングの手法が用いられており、たとえば銀行やカード会社を装って「不正なログインを検知したのでアカウントを停止した」「新たなセキュリティ対策を導入した」などという内容のメールを送り、偽サイトへのリンクをクリックさせようとします。他には、オンラインゲームからのお知らせや宅配便の不在通知、ショッピングサイトからの購入確認などになりすますケースも見受けられます。こうしたメールのほとんどは受け手側を焦らせる内容となっており、多くの人が騙されてしまうのです。

ここにきてフィッシング詐欺は急増しており、さまざまな種類の偽サイトが見られるようになりました。以前は海外からの攻撃が多いせいか、おかしな日本語を使ったものが多かったのですが、最近では違和感のない文章を駆使するようになっており、受け手が引っかかる可能性も高まっています。

フィッシング詐欺によって盗み取られたログイン情報は、アンダーグラウンドの市場で売買され、不正アクセスや他のサービスへのログイン試行に悪用されるのです。また、この種の市場ではサイバー攻撃者向けにフィッシング詐欺に使うツールやクラウドサービスが提供されており、誰でも簡単にフィッシング詐欺が行えるようになっていることも、増加の背景にあると思われます。

関連サービス

WideAngle マネージドセキュリティサービス
ファイアウォールやIPS/IDS、アンチウイルスなど、ご要望の高いネットワークセキュリティやコンテンツセキュリティを一括してアウトソーシングできるパックメニューです。
セキュリティ運用基盤(SIEM)とリスク分析官による相関分析で、ファイアウォールなど機能単体での運用では気がつかない未知の脅威をあぶりだします。
WideAngle プロフェッショナルサービス
経験豊富なセキュリティエキスパートが企業のリスクマネジメントにおける現状と課題を抽出し、解決に導くソリューションです。グローバル統一手法によりセキュリティリスクを調査・把握し、改善からモニタリングまで総合的にサポートする「コンサルティング」、セキュリティインシデント発生時における被害拡大防止や復旧支援を行う「レスキューサービス」、ICT環境の弱点を可視化する「脆弱性診断」で構成されます。

関連記事

サイバー攻撃の手法は日々進化しており、昨今では“人の脆弱性”を狙ったソーシャルエンジニアリングの手法を組み合わせた攻撃が使われるようになってきました。その代表例といえるの…【続きを読む】

多くの企業がサイバー攻撃のターゲットとなり、個人情報の漏えいなど大きな被害を受けている現状において、進化する巧妙な手口に対する防止策や新種のウイルス対策までを社内担当者だ…【続きを読む】

建設業界の中堅企業で営業を担当しているY.Tさんは、繁忙期でバタバタしている時期に「パソコンがおかしいから見てくれ」と上司から急に呼び出された。パソコンに保存したファイル…【続きを読む】

特集コンテンツ

この記事が注目されています

このページのトップへ