Select Language : English 日本語
Global Site : NTT Ltd.

お客さまの課題解決のヒントをお届けするデジタルマガジンICT Business Online

メルマガ登録 サービス
オンライン注文

フィッシング詐欺やBEC(ビジネスメール詐欺)といった、ソーシャルエンジニアリングの手法を使用したメール攻撃が急増しています。これらは、人間心理の隙を突くため、受け手側もうっかりひっかかってしまうことが多くなっています。こうした攻撃には複数の対策を組み合わせることや、教育によって従業員のセキュリティ意識を高めることが効果的とされています。今回は、NTT Comの総合リスクマネジメントサービス「WideAngle」を例に、フィッシング詐欺対策について解説します。

急増するフィッシング詐欺

フィッシング詐欺は、実在する金融機関やサービスなどに見せかけてIDやパスワードなどの機密情報を盗み出そうとする詐欺で、似たような詐欺は古くからありました。それがインターネットの普及により、メールやWebサイトを利用するようになったことから、「洗練された手口(sophisticated)」と、「釣る(fishing)」を掛け合わせて「フィッシング詐欺(phishing)」と呼ばれるようになりました。現在ではさらに手法が洗練されてきており、企業の経営層や取引先になりすまし送金指示のメールを送る「BEC:Business Email Compromise(ビジネスメール詐欺)」が急増しています。

フィッシング詐欺は、実在するWebサイトにそっくりの偽サイトを用意し、メールを使ってユーザーを誘導、IDとパスワードなどを入力させて、その情報を盗み取るという手法です。この攻撃には人間心理の隙を突くソーシャルエンジニアリングの手法が用いられており、たとえば銀行やカード会社を装って「不正なログインを検知したのでアカウントを停止した」「新たなセキュリティ対策を導入した」などという内容のメールを送り、偽サイトへのリンクをクリックさせようとします。他には、オンラインゲームからのお知らせや宅配便の不在通知、ショッピングサイトからの購入確認などになりすますケースも見受けられます。こうしたメールのほとんどは受け手側を焦らせる内容となっており、多くの人が騙されてしまうのです。

ここにきてフィッシング詐欺は急増しており、さまざまな種類の偽サイトが見られるようになりました。以前は海外からの攻撃が多いせいか、おかしな日本語を使ったものが多かったのですが、最近では違和感のない文章を駆使するようになっており、受け手が引っかかる可能性も高まっています。

フィッシング詐欺によって盗み取られたログイン情報は、アンダーグラウンドの市場で売買され、不正アクセスや他のサービスへのログイン試行に悪用されるのです。また、この種の市場ではサイバー攻撃者向けにフィッシング詐欺に使うツールやクラウドサービスが提供されており、誰でも簡単にフィッシング詐欺が行えるようになっていることも、増加の背景にあると思われます。

サービス案内

  • 総合リスクマネジメント

    ファイアウォールやIPS/IDS、アンチウイルスなど、ご要望の高いネットワークセキュリティやコンテンツセキュリティを一括してアウトソーシングできるパックメニューです。 セキュリティ運用基盤(SIEM)とリスク分析官による相関分析で、ファイアウォールなど機能単体での運用では気がつかない未知の脅威をあぶりだします。

    WideAngle マネージドセキュリティサービス

  • 総合リスクマネジメント

    経験豊富なセキュリティエキスパートが企業のリスクマネジメントにおける現状と課題を抽出し、解決に導くソリューションです。グローバル統一手法によりセキュリティリスクを調査・把握し、改善からモニタリングまで総合的にサポートする「コンサルティング」、セキュリティインシデント発生時における被害拡大防止や復旧支援を行う「レスキューサービス」、ICT環境の弱点を可視化する「脆弱性診断」で構成されます。

    WideAngle プロフェッショナルサービス