欺瞞的フィッシング(Deceptive Phishing)とは?もっとも多用されるフィッシング手段について解説|サイバーセキュリティ.com

欺瞞的フィッシング(Deceptive Phishing)とは?もっとも多用されるフィッシング手段について解説



単に「フィッシング詐欺」と聞くと、実在の企業のふりをしてユーザーを騙す詐欺行為を思い浮かべるのではないでしょうか。そうしたイメージは、厳密には「欺瞞的フィッシング(Deceptive Phishing)」と呼ぶ場合があります。この記事では、欺瞞的フィッシングの攻撃手口や他のフィッシング詐欺との違いを解説します。

欺瞞的フィッシング(Deceptive Phishing)とは

欺瞞的フィッシング(Deceptive Phishing)とは、実在の企業や行政機関になりすましてターゲットの情報を盗む攻撃です。もっとも一般的なフィッシング手法であり、単に「フィッシング詐欺」という場合は、欺瞞的フィッシングを意味しています。個人を標的にしたケースでは、金融機関やクレジットカードの認証情報を盗み、不正送金などの犯罪行為に悪用することが多いです。企業を狙う場合、Webサービスの認証情報を窃取して不正アクセスし、企業の顧客データや重要機密を盗み出します。

欺瞞的フィッシング攻撃の手口

欺瞞的フィッシングには、偽装したメールとWebサイトが使われるパターンが一般的です。標的に実在組織の偽装メールを送信し、メール内に記載したURLから偽装サイトへと誘導します。

偽装サイトは正規サイトのデザインを模倣しているため、一目では違いがわかりません。アカウントやクレジットカード情報を入力するよう誘導し、情報を盗みます。また、ユーザーに偽装サイトだと気づかれないよう、情報入力後に正規サイトへ自動でリダイレクトさせる場合もあります。

欺瞞的フィッシングの事例

欺瞞的フィッシングの事例は非常に多く、日々さまざまな報告がされています。たとえば、2023年3月には「マイナポイント事務局」を騙ったフィッシングメールが多発しています。フィッシング詐欺協議会の注意喚起(※1)によれば、メール本文には「マイナポイント2万円が失効する」の文言と偽装サイトのURLが記載されていました。

同協会はさらに、国土交通省を騙るフィッシング詐欺の報告も公表しています(※2)。自動車税の納付を呼びかけるSMSを送り、ユーザーを偽装サイトへ誘導する内容でした。欺瞞的フィッシングはメールだけでなくSMSや音声も悪用されるため、注意が必要です。

※1 フィッシング対策協議会「マイナポイント事務局をかたるフィッシング (2023/03/31)

※2 フィッシング対策協議会「国土交通省をかたるフィッシング (2023/04/25)

欺瞞的フィッシングの対策方法

欺瞞的フィッシングの対策は、一般的なフィッシング詐欺の対策と変わりません。基本の対策として、メールの差出人は必ず確認しましょう。実際の企業や関係者を騙りながらメールアドレスが一致していない場合、メールは開封せずに削除します。

ただし、一見メールアドレスが正しいように見えても、送信元を偽装しているパターンもあります。セキュリティ機能で送信元が認証されているメール以外は、メール本文のURLは基本的にクリックしないようにしましょう。

加えて、各種サービスのログイン方法に「多要素認証」を設定すると、よりセキュリティが強固になります。多要素認証とは、ID・パスワードに加えてワンタイムパスワードやSMSによる認証も求める方法です。万一、フィッシングサイトに情報を入力してしまっても、多要素認証が求められるため、不正利用の予防が可能です。

欺瞞的フィッシング攻撃と他のフィッシング攻撃との違い

欺瞞的フィッシングのほか、フィッシング攻撃には多様な種類があります。以下の4種類について、欺瞞的フィッシングとの違いを紹介します。

  1. スピアフィッシング
  2. ホエーリング
  3. スミッシング
  4. ビッシング

順番に見ていきましょう。

1.スピアフィッシング

スピアフィッシングとは、特定の人を狙うフィッシング攻撃です。標的の情報を細かく調べてからフィッシングメールを送るため、騙される危険性が高いと言えます。欺瞞的フィッシングは、標的を定めません。不特定多数にフィッシングを仕掛けます。

2.ホエーリング

ホエーリングとは、企業幹部などの重役を狙うフィッシング攻撃です。あるいは、重役のふりをして一般社員にフィッシングメールを送る場合もあります。特定の標的を狙うため、ホエーリングはスピアフィッシングに含まれます。

3.スミッシング

スミッシングとは、SMSによるフィッシング攻撃です。フィッシングはメールを使うケースが多いですが、近年はスマホの普及によりSMSを悪用する事例が増えています。欺瞞的フィッシングはSMSに限らず、メールや通話などの幅広い手段を用います。また、多くの場合でスミッシングは実在の企業のふりをするため、欺瞞的フィッシングの一種とも解釈できます。

4.ビッシング

ビッシングとは、音声を使ったフィッシング攻撃です。ターゲットに電話を掛けたり、偽装サイトに表記した番号に電話を掛けさせたりして誘導します。いわゆる「オレオレ詐欺」はビッシングに該当します。一方、ユーザーから電話を掛けさせる場合、カスタマーサポートや自動音声による案内を騙るパターンが多いようです。スミッシングと同じく、実在の企業を騙る場合は欺瞞的フィッシングに含まれます。

まとめ

欺瞞的フィッシングは、実在の企業や機関、団体を騙る攻撃手口です。古典的な手法であるゆえに対策が広く周知されているものの、偽装手段の高度化により被害報告が頻発しています。被害を防ぐには、最新のフィッシング事例がわかる「フィッシング対策協議会」の定期チェックがおすすめです。最新のフィッシング動向に注目し、被害に遭わないよう対策しましょう。


SNSでもご購読できます。