Overview
フィッシング攻撃(Phishing Attack)とは、信頼できる組織や個人を装い、メール・SMS・SNSなどを通じて被害者を偽のWebサイトに誘導し、ID・パスワード・クレジットカード番号などの機密情報を窃取するサイバー攻撃手法です。「fishing(釣り)」と「sophisticated(巧妙な)」を掛け合わせた造語が語源とされています。
フィッシング攻撃には複数の亜種が存在します。特定の個人や組織を狙うスピアフィッシング、企業幹部や経営者を標的にするホエーリング、DNS汚染やホストファイル改ざんによって正規サイトへのアクセスを偽サイトにリダイレクトするファーミングなど、攻撃手法は多様化しています。
近年では生成AIの進化により、自然な文章で作成されたフィッシングメールが急増しており、従来の「不自然な日本語」という判別基準が通用しなくなっています。Anti-Phishing Working Group(APWG)の報告では、2023年のフィッシング攻撃件数は過去最高を記録し、金融機関・SaaS・SNSを騙るものが上位を占めています。
Details
フィッシング攻撃の種類
- メールフィッシング(Email Phishing):最も一般的な手法。銀行・ECサイト・クラウドサービスなどを装った偽メールを大量に送信し、偽のログインページへ誘導する
- スピアフィッシング(Spear Phishing):特定の個人や組織を標的にした高度なフィッシング。ターゲットの業務内容・人間関係・興味関心を事前に調査し、極めて自然なメールを作成する
- ホエーリング(Whaling):CEO・CFOなどの経営幹部を標的にした攻撃。取締役会への報告書や法的文書を装うケースが多い
- スミッシング(Smishing):SMSを利用したフィッシング。宅配不在通知や料金未納通知を装い、不正URLをクリックさせる
- ビッシング(Vishing):電話を利用したフィッシング。銀行やテクニカルサポートを装い、電話口で機密情報を聞き出す
- QRコードフィッシング(Quishing):不正なQRコードを設置し、スキャンしたユーザーをフィッシングサイトに誘導する新手の手法
手口の高度化とAI生成メール
従来のフィッシングメールは文法の誤りや不自然な翻訳が特徴でしたが、生成AI(ChatGPT等)の登場により、ネイティブレベルの自然な文章が容易に作成できるようになりました。攻撃者はAIを使って、ターゲットの業界用語や社内用語を含む極めて説得力のあるメールを作成します。
さらに、ディープフェイク音声を使用したビッシング攻撃も報告されており、上司や取引先の声を模倣して電話をかける手法が確認されています。テキスト・音声・映像のすべてにおいて、本物と偽物の区別が困難になりつつあります。
フィッシングキット
フィッシングキット(Phishing Kit)は、フィッシングサイトの構築に必要なテンプレート・スクリプト・管理画面をパッケージ化したツールです。ダークウェブで数十ドルから購入でき、技術的な知識がなくても本物そっくりの偽サイトを短時間で構築できます。Phishing-as-a-Service(PhaaS)として提供されるものもあり、サブスクリプション型で継続的なサポートやアップデートが含まれます。
AitM(Adversary-in-the-Middle)フィッシング攻撃
AitM攻撃は、フィッシングサイトが被害者と正規サイトの間にリバースプロキシとして介在し、リアルタイムで認証情報とセッションCookieの両方を窃取する高度な手法です。この攻撃はMFA(多要素認証)をバイパスできるため、従来のフィッシング対策だけでは防御が困難です。EvilginxやModlishkaといったオープンソースツールが攻撃に悪用されています。
Security Measures
- 01FIDO2/パスキーによるフィッシング耐性認証の導入:FIDO2/WebAuthn対応のハードウェアキーやパスキーを使用してください。ドメインに紐づいた認証を行うため、フィッシングサイトに認証情報を入力してしまうリスクを原理的に排除できます。
- 02メールセキュリティの強化:DMARC・DKIM・SPFの認証設定を実施し、なりすましメールの受信を防止してください。さらに、AIベースのメールフィルタリングソリューションを導入し、高度なフィッシングメールの検出精度を向上させましょう。
- 03従業員向けフィッシング訓練の定期実施:模擬フィッシングメールを定期的に送信し、従業員のセキュリティ意識を継続的に向上させてください。訓練結果を分析し、部署別・役職別の傾向を把握して重点的な教育を行いましょう。
- 04URLフィルタリングとWebプロキシの導入:既知のフィッシングサイトへのアクセスをブロックするURLフィルタリングを導入してください。リアルタイムのフィッシングサイトデータベースとの連携により、新規に作成されたフィッシングサイトも迅速にブロックします。
- 05不審メールの報告体制の整備:従業員が不審なメールを簡単に報告できるワンクリック報告ボタンを導入してください。報告されたメールをSOCチームが即座に分析し、組織全体への注意喚起と類似メールのブロックを迅速に実施しましょう。
- 06ブラウザ分離技術の活用:メール内のリンクをクリックした際にブラウザ分離(Browser Isolation)環境で開く仕組みを導入し、万が一フィッシングサイトにアクセスしても、マルウェアの実行やCookieの窃取を防止してください。
Incidents
📋 Google/Facebook BEC送金詐欺事件(2013〜2015年)
リトアニア人の攻撃者エバルダス・リマサウスカスは、台湾のハードウェアメーカーQuanta Computerになりすまし、GoogleとFacebookに対して偽の請求書を送り続けました。精巧な偽造文書と偽のメールアドレスを使用したスピアフィッシングにより、2社から合計約1億ドル(約110億円)をだまし取ることに成功しました。
攻撃者は正規の取引先の請求フォーマットを完全に模倣し、銀行口座情報だけを自身の管理する口座に差し替えていました。2019年に有罪判決を受け、約4,950万ドルの返還と禁錮5年が言い渡されました。この事件は、大企業であってもフィッシングとBECの組み合わせに脆弱であることを実証しました。
📋 Twitter従業員フィッシング事件(2020年)
2020年7月、バラク・オバマ、イーロン・マスク、ビル・ゲイツなど著名人のTwitterアカウントが乗っ取られ、暗号資産詐欺のツイートが投稿されました。攻撃者は17歳の少年を中心としたグループで、Twitter従業員に対して電話によるフィッシング(ビッシング)攻撃を実施しました。
攻撃者はTwitterのIT部門を装って従業員に電話をかけ、VPNの問題解決を名目に社内ツールの認証情報を聞き出しました。この情報を使って内部管理ツールにアクセスし、130以上のアカウントを操作しました。被害額は約12万ドルの暗号資産でしたが、Twitterの株価下落やブランド毀損など、企業への影響は甚大でした。
📋 Okta/Twilio フィッシングキャンペーン「0ktapus」(2022年)
2022年8月、Oktapusと名付けられた大規模フィッシングキャンペーンが発覚しました。攻撃者はOktaのログインページを模倣したフィッシングサイトを作成し、130以上の組織の従業員にSMSでフィッシングリンクを送信しました。Twilio、Cloudflare、Mailchimpなど著名なテクノロジー企業が被害を受けました。
攻撃者はOktaの認証情報とMFAコードをリアルタイムで窃取するAitM手法を使用しました。Twilioの侵害を足がかりに、Signal Messengerの約1,900人のユーザーデータにもアクセスしました。この攻撃はサプライチェーン全体に波及する連鎖的なフィッシング攻撃の危険性を示し、フィッシング耐性のある認証方式への移行を加速させるきっかけとなりました。