Phishing

フィッシング（Phishing）とは、信頼できる組織や個人になりすまして、メール・Webサイト・メッセージなどを通じてユーザーの認証情報、個人情報、金融情報を詐取するサイバー攻撃手法です。「Fishing（釣り）」の語呂合わせであり、攻撃者がエサ（偽のメールやWebサイト）を仕掛けて被害者を「釣り上げる」ことに由来します。フィッシングはサイバー犯罪において最も一般的な攻撃手法であり、データ漏洩の90%以上がフィッシングメールを起点としています。

フィッシング攻撃は年々高度化しており、単純なスペルミスだらけのメールから、本物と見分けがつかないほど精巧な偽サイトやメールテンプレートへと進化しています。攻撃者はSSL証明書を取得した偽ドメインを使用し、正規のブランドロゴやデザインを完全に模倣したフィッシングサイトを短時間で構築できます。フィッシングキットと呼ばれるツールにより、技術力の低い犯罪者でも容易にフィッシング攻撃を実行可能になっています。

フィッシングに対する防御は、技術的な対策（メールフィルタリング、URL検査、ブラウザ保護機能）と人的な対策（セキュリティ意識向上トレーニング）の両方が不可欠です。特にDMARC、DKIM、SPFなどのメール認証技術の適切な導入は、なりすましメールの検知と排除に極めて効果的です。

メールフィッシング（Email Phishing）

メールフィッシングは最も一般的なフィッシング手法であり、大量のメールを不特定多数に送信する「ばらまき型」攻撃です。攻撃者は銀行、ECサイト、クラウドサービスなど信頼性の高い組織を装い、「アカウントが停止される」「不正アクセスが検知された」などの緊急性を煽るメッセージで受信者を偽のWebサイトに誘導します。

メールフィッシングの成功率は一般的に1〜3%程度ですが、大量に送信するため被害者数は膨大になります。攻撃者は送信元アドレスのなりすまし（スプーフィング）、正規ドメインに類似したドメイン（タイポスクワッティング）、HTML メールによるURLの偽装など、複数の手法を組み合わせて信頼性を高めます。

クローンフィッシング（Clone Phishing）

クローンフィッシングは、過去に実際に送信された正規のメールを複製し、その中のリンクや添付ファイルを悪意のあるものに差し替えて再送信する手法です。受信者は以前に受け取ったメールと同じ内容であるため、不審に思わずにリンクをクリックする可能性が高くなります。

攻撃者は「先ほどのメールのリンクに不具合がありました。こちらが正しいリンクです」といった口実を使用することもあります。この手法は特に、攻撃者が事前にメールアカウントに侵入し、実際のメール履歴を把握している場合に極めて効果的です。

ファーミング（Pharming）

ファーミングは、DNS（Domain Name System）を改ざんまたはポイズニングすることで、正規のURLにアクセスしたユーザーを偽のWebサイトにリダイレクトする攻撃手法です。通常のフィッシングとは異なり、ユーザーは正しいURLをブラウザに入力しているにもかかわらず、偽サイトに誘導されます。

ファーミングにはDNSサーバーを直接攻撃する方法と、ユーザーのコンピュータのhostsファイルやローカルDNSキャッシュを改ざんする方法があります。被害者は正規のURLを確認しても異常に気づかないため、検知が非常に困難な攻撃です。DNSSEC（DNS Security Extensions）の導入により、DNSレベルでの改ざんを防止できます。

クレデンシャルハーベスティング（Credential Harvesting）

クレデンシャルハーベスティングは、フィッシングサイトを通じてユーザーのログイン情報（ユーザー名・パスワード）を大量に収集する手法です。攻撃者は正規のログインページを完全に模倣したWebサイトを構築し、収集した認証情報をリアルタイムで正規サイトへの不正アクセスに使用します。

高度なクレデンシャルハーベスティングでは、リバースプロキシ技術を使用して、ユーザーと正規サイトの間に攻撃者のサーバーを中間者として配置します。これにより、多要素認証（MFA）のワンタイムパスワード（OTP）もリアルタイムで傍受・利用することが可能になります。Evilginx2やModlishkaなどのツールがこの目的で悪用されています。

フィッシングキット（Phishing Kits）

フィッシングキットは、フィッシング攻撃に必要なすべてのコンポーネント（偽のWebサイトテンプレート、メールテンプレート、データ収集スクリプト、管理パネル）をパッケージ化したツールセットです。ダークウェブ上のマーケットプレイスで数十ドルから数百ドルで販売されており、技術的な知識がほとんどなくても高品質なフィッシング攻撃を展開できます。

最新のフィッシングキットには、ボット検知回避機能、地理的フィルタリング（特定の国からのアクセスのみ許可）、リアルタイム通知（Telegram連携）、自動化されたクレデンシャル検証機能などが搭載されています。フィッシングキットの分析は、セキュリティ研究者やインシデント対応チームにとって攻撃者の手法を理解する上で重要な情報源となっています。

アンチフィッシング技術

メール認証プロトコル（SPF、DKIM、DMARC）は、送信元ドメインの正当性を検証し、なりすましメールをフィルタリングします。特にDMARCポリシーを「reject」に設定することで、自組織のドメインを騙ったフィッシングメールの到達を効果的に防止できます。

ブラウザベースの保護機能として、Google Safe BrowsingやMicrosoft SmartScreenがフィッシングサイトのURLをリアルタイムで検知・ブロックします。また、AIを活用した次世代メールセキュリティソリューションは、メール本文の言語パターン、送信者の行動分析、URLの動的検査を組み合わせて、従来のシグネチャベースのフィルタリングでは検知できない新種のフィッシングメールも識別します。

• 01
  DMARC・SPF・DKIMの完全導入：組織のメールドメインにSPF、DKIM、DMARCの三つの認証プロトコルを導入してください。DMARCポリシーは段階的に「none」から「quarantine」、最終的に「reject」へ移行し、自組織のドメインを騙ったフィッシングメールの送信を防止しましょう。
• 02
  フィッシング耐性のある多要素認証の導入：従来のSMS・OTPベースのMFAはリアルタイムフィッシングプロキシによって突破される可能性があるため、FIDO2/WebAuthnベースのハードウェアセキュリティキーやパスキーを導入してください。これらはフィッシングサイトでは動作しないため、クレデンシャルハーベスティングを根本的に防止できます。
• 03
  メールセキュリティゲートウェイの強化：AI/MLベースのメールフィルタリングソリューションを導入し、既知のフィッシングパターンだけでなく、未知の攻撃もリアルタイムで検知してください。URL書き換え（URL Rewriting）とサンドボックス解析により、メール内のリンクと添付ファイルの安全性を検証しましょう。
• 04
  定期的な模擬フィッシング訓練の実施：全従業員を対象とした模擬フィッシングメール訓練を月次または四半期ごとに実施してください。クリック率やレポート率を継続的に測定し、高リスクの従業員には追加トレーニングを提供することで、組織全体のフィッシング検知能力を向上させましょう。
• 05
  ブラウザセキュリティ拡張の導入：全社端末のブラウザにフィッシング対策拡張機能を導入し、既知のフィッシングサイトへのアクセスをブロックしてください。Google Safe BrowsingやMicrosoft Defender SmartScreenの企業向け設定を有効化し、URLレピュテーションチェックを強制しましょう。
• 06
  不審メール報告ボタンの設置と即時対応体制：メールクライアントに不審メール報告専用ボタン（例：PhishAlarm）を設置し、従業員がワンクリックでフィッシングの疑いがあるメールをセキュリティチームに報告できる仕組みを構築してください。報告されたメールは自動分析を行い、フィッシングと判定された場合は組織内の全受信者のメールボックスから自動削除しましょう。