フィッシング攻撃を防ぐ方法

フィッシングは、ハッカーが電話、テキストメッセージ、不正なウェブサイト、電子メールを利用してユーザーを誘導し、標的とし、機密情報を共有させるサイバー攻撃の手法です。被害者にマルウェアをダウンロードさせたり、知らず知らずのうちに他のサイバー犯罪に巻き込ませたりすることもあります。

フィッシングはソーシャルエンジニアリングの一種であり、偽の店舗、プレッシャー戦術、欺瞞、人為的ミスなどの要素を含み、被害者を操作して組織に意図せず損害を与えることがあります。本ガイドでは、フィッシング攻撃の防止が組織にとってなぜ重要なのかを解説します。組織におけるフィッシング攻撃の防止方法について、以下で詳しく理解できます。

なぜフィッシング攻撃の防止が重要なのか？

フィッシング攻撃の防止が重要なのは、これらの攻撃が他の重大なサイバー犯罪への入り口となるためです。攻撃者が足場を築き、発見されずに保険をかけるようなものです。攻撃者は人間の心理を利用して機密データを盗み、マルウェアをインストールし、組織全体に多大な損害を与えます。

フィッシングの影響は金銭的損失だけにとどまりません。個人情報の喪失、精神的なトラウマの発生・拡散、評判損失による長期的な回復の困難などが生じます。単一のデータ侵害でも、事業継続性に大きな影響を与える可能性があります。企業が資金を失えば、企業価値も失われます。また、顧客データの保護に失敗した場合、英国のGDPRなどの規制に基づく高額な罰金、訴訟、その他の厳しい制裁を受けることになります。

フィッシング攻撃の仕組み

フィッシング攻撃は複数のステップやフェーズを経て実行されます。明確な一つの答えはありませんが、基本的な原則はこうです：攻撃者は人間の感情を利用し、心理的にユーザーを悪用します。攻撃者は以下のステップを踏みます：

標的の調査（偵察）

ハッカーは、ターゲットのソーシャルメディア、フォーラム、ウェブサイト上での行動や情報を収集します。得られた情報をもとに、信憑性の高いメッセージを作成し、より効果的に標的を狙います。

餌と誘導の作成

これがいわゆる誘導フェーズです。メールは正規で信頼できる送信元からのように見えます。恐怖や緊急性、魅力的なオファーなどの心理的トリガーが含まれ、被害者にプレッシャーをかけます。被害者がメールを読むと、オファーや情報が魅力的なため、深く考えずにすぐに反応してしまうことがあります。

フックと悪用

被害者が行動を促され、悪意のあるリンクをクリックしたり添付ファイルを開いたりすると、罠にはまります。被害者は情報を入力し、不正なフォームを通じて送信することで、攻撃者にさらなるコントロールを渡してしまいます。

コマンドコントロール

この時点で、攻撃者はシステムを制御するために必要な情報をすべて手に入れています。盗んだ情報を使ってシステムを乗っ取ったり、資金を移動したり、なりすましや組織内での脅迫を行うことができます。さらに大規模な攻撃を仕掛け、組織内での足場を強化することも可能です。

フィッシングの兆候

フィッシングの主な警告サインは以下の通りです：

馴染みのある挨拶やメッセージ

緊急性を感じさせる内容が届きます。例えば、「あなたのアカウントはまもなくロックされます。ご確認ください」「最近のご購入について…」などです。メッセージは説得力があり、個人データや期限が記載されていることが多いです。メールのドメインも本物と非常によく似ています。

例えば、gmail.comとgmail.coの違いは一見して分かりません。複数のメールを受信すると、こうした微妙な違いを見逃しがちです。

類似した会社名や組織名

ハッカーは、会社役員、CEO、株主などの名前をメールに使用し、写真や署名、文体まで模倣することがあります。AI時代の今、AIツールを使って個別にパーソナライズされた非常に説得力のあるスピアフィッシングメールを作成するのも珍しくありません。

アカウント有効期限切れやパスワードリセット詐欺

アカウントの有効期限切れやパスワード変更を促す内容もフィッシングの兆候です。パスワード変更攻撃は特に増加しており、攻撃者は偽のページやモバイルサイト、その他のパスワードリセット手法を使ってログイン情報の入力を求めます。

URLの微細な変更

オンラインでやり取りする際、URLのわずかな変更にも注意してください。mail.provider.comとmail.update.provider.comの違いのうち、一方はフィッシングURLです！

不審なリクエスト

メールで普段とは異なる、または不審なリクエストを受け取った場合も注意が必要です。例えば、CEOが通常の承認・申請プロセスを経ずに、急いで資金を振り込むよう依頼し、後で返金すると約束することはありません。

WiFiツイン

WiFiツインは、会社の正規WiFiと似た名前のWiFiに誤って接続してしまうフィッシング攻撃の一種です。これによりインターネット通信が攻撃者に傍受され、機密データが盗まれるリスクがあります。WiFiツイン攻撃は、病院、公共エリア、カフェなどで発生することがあります。

フィッシング攻撃を防ぐためのベストプラクティス

1. メールの内容と言語に注意する

フィッシングメールに記載された偽の注文や追跡番号は、詐欺の明確なサインです。一見正しいように見えても、偽の住所や電話番号、その他の認証情報が含まれている場合がありますので、必ず確認してください。

ビジネスメール詐欺（BEC）攻撃は、組織の階層構造を悪用し、経営陣になりすまして被害者に行動を促します。

偽の請求書も非常に一般的で、正規のベンダーからのものに見える場合があります。犯罪者が請求スケジュールを把握し、ベンダーより先にメールを送ることで、本物のように見せかけることもあります。

これら3点を踏まえ、何ができるでしょうか？まずは注意を払うことが第一歩です。特にメールの言語や細部に注意してください。指示を流し読みせず、メッセージ内容を照合しましょう。すぐに反応せず、文法やスペルミス、その他の不一致をじっくり確認してください。

2. フィッシング訓練の実施

多くの組織では、模擬シナリオやフィッシング訓練を実施しています。これは従業員の反応をテストするためのシミュレーションキャンペーンです。どのような行動が取られるか、何が機能しないかを把握し、今後の改善に役立てます。

模擬フィッシングキャンペーンは、セキュリティ体制の評価、不正行為の特定、ポジティブなフィードバックの提供に役立ちます。チームは建設的なフィードバックを受け取り、管理者はメール内の不審な要素をより的確に見抜けるようになります。これらの知見は、将来のフィッシング詐欺からの保護に役立ちます。

3. 従業員への教育とトレーニング

フィッシング攻撃の防止には、従業員に安全な行動を促し、実践させることが重要です。組織は従業員にフィッシングメールの見分け方を教育する必要があります。どのツールやワークフロー、サービスを利用すべきかも周知しましょう。セキュリティ自動化だけでは限界があり、人による意識の層が必要です。

フィッシング対策トレーニングは継続的に実施し、説明動画やビジュアルガイドを含めるべきです。従業員に明確な手順を提供し、不審なメッセージの発見・ブロック・封じ込めを可能にします。

4. 多要素認証（MFA）の導入

最も強力なMFAは、SMSコードではなくハードウェアセキュリティキーや生体認証を使用します。サイバー犯罪者はSMSコードを傍受することがあるためです。Microsoftの報告によると、MFAは自動化攻撃の99.9%をブロックし、ほとんどの認証情報窃取を防ぎます。

まずはスマートフォンの認証アプリから始め、セキュリティ要件に応じてより強力な方法にアップグレードしましょう。すべての対応アカウント（特にメール、銀行、業務システム）でMFAを有効化してください。万が一フィッシングリンクをクリックし、偽のログインページで認証情報を入力しても、MFAが攻撃の完了を阻止します。

5. 高度なメールフィルタリングと認証の活用

DMARC、SPF、DKIMプロトコルを導入し、メールが正規の送信者から送信されていることを検証しましょう。SPFはどのサーバーが自ドメインのメール送信を許可されているかを示し、DKIMはメールが改ざんされていないことを証明するデジタル署名を追加します。DMARCは両者を統合し、自組織を装ったメールの送信元を可視化します。

認証チェックに失敗したメールを自動的にブロックするようメールシステムを設定しましょう。ユーザートレーニングと組み合わせることで、高度なフィルタリングは多くのフィッシングを従業員の受信箱に届く前に阻止します。

6. DNSフィルタリングによる悪意のあるサイトのブロック

誰かがフィッシングリンクをクリックした場合、DNSフィルタリングはそのドメインがブロックリストにあるかを確認し、接続を拒否します。

ブロックリストを活用し、フィッシング、マルウェア、ランサムウェアに関連する数千のドメインを特定しましょう。高度なDNSフィルタはAIを活用してリストを常時更新し、新たに作成された悪意のあるドメインも数時間以内に検知します。

7. クリック前にリンクを確認する

リンクをクリックせずにマウスオーバーして、実際の遷移先を確認しましょう。攻撃者は「請求書を見る」「アカウントを確認」などの表示テキストの裏に本当の遷移先を隠すことがよくあります。2023年の調査では、クリック前にマウスオーバーする訓練を受けた従業員は、フィッシングリンクをクリックする確率が67%低下しました。

マウスオーバー時には、スペルミスのあるドメインや数字で文字を置き換えたもの（例：micros0ft.comなど）に注意してください。サブドメインが一致しない場合も要注意です。例えば、メールがPayPalからのものとされていても、リンクがpaypal.suspicious-login.comなら危険信号です。URL短縮サービスが本当の遷移先を隠していないか、リンク先が想定外の企業サイトでないかも確認しましょう。

不明な場合は、リンクをコピーしてテキストファイルに貼り付け、誤ってクリックしないように確認してください。メール内のリンクをクリックせず、自分でURLを入力して公式サイトにアクセスしましょう。

8. ソフトウェアの最新化とパッチ適用

可能な限り、すべてのOSやソフトウェアで自動更新を設定しましょう。重要なアプリケーションについては、本番環境外でパッチをテストし、互換性の問題を事前に確認してください。脆弱性の深刻度や影響範囲に応じてパッチ適用の優先順位を決めましょう。

自動パッチ管理ツールを活用し、未適用の更新をスキャン・テスト・全デバイスに展開しましょう。

9. 変更不可なバックアップの維持

バックアップはネットワークから切り離すか、オフラインで保管し、ランサムウェアからのアクセスを防ぎましょう。四半期ごとにバックアップの復元テストを行い、実際にデータを復元できることを確認してください。定期的に復元テストを行う組織は、そうでない組織よりも復旧時間が20%短縮されます。

異なるストレージタイプや場所に複数のバックアップコピーを保持しましょう。ランサムウェアでライブデータが暗号化されても、クリーンなバックアップから復元できます。 

10. 最小権限によるアクセス制御

ユーザーアカウントを監査し、各ロールに必要なアクセス権を定義しましょう。日常利用アカウントから不要な管理者権限を削除してください。

職務に基づくアクセス制御（RBAC）を用いて権限を割り当て、時間の経過とともに権限が増加する「権限の肥大化」を監視しましょう。従業員が異動や退職した場合は、直ちに古い権限を取り消してください。

SentinelOneによるフィッシング攻撃対策支援

SentinelOneは、HYAS Protectのようなソリューションと連携し、DNSレイヤーで悪意のあるドメインやコマンド＆コントロール（C2）インフラへの通信を監視・ブロックできます。さまざまな脅威に対して自律的にマシンスピードで対応し、感染端末を隔離し、有害なプロセスを停止します。マルウェアによる変更を感染前の状態にロールバックし、リスクを最小化できます。

SentinelOneのグローバル脅威インテリジェンスは、最新のフィッシング手法や侵害指標（IOC）を常に提供します。専門チームによる人的サポートも受けられます。SentinelOneのユーザー行動監視は、侵害されたアカウントや異常な活動の兆候を検出するのに役立ちます。不審な行動をフラグ付けし、さらなる調査に回すことができます。

Singularity™ Mobileは、端末上で適応的かつリアルタイムな防御を提供し、増加するモバイル脅威に対応します。脱獄・root化端末からのリスクを排除し、中間者（MitM）攻撃や不正な無線通信・通信改ざんから防御します。フィッシングURLのブロックや新たなフィッシング手法の行動検知も可能です。テキスト、メッセージアプリ、メール、SNS内の不審なリンクについてもアラートを受け取れます。ユーザーが関与する前に認証情報の窃取やアカウント侵害を防止します。

Singularity™ Identityは、アイデンティティを保護し、ハイブリッド環境全体での可視性を提供して露出を検知します。認証情報の悪用を阻止し、アイデンティティリスクを低減します。エンドポイントとアイデンティティのアクティビティを相関させ、コンテキストに基づく検知と迅速なトリアージを実現します。さらに、サイロ化された環境の死角を排除するのにも役立ちます。統合された高精度アラートで調査を迅速化し、証拠を相関させます。Active DirectoryやクラウドIDプロバイダー（Entra ID、Okta、Ping、SecureAuth、Duoなど）の強化にも貢献します。

SentinelOneの行動エンジンは、ファイル暗号化や不正アクセス試行などのシステム活動を追跡し、統合アラートとして相関させます。プラットフォームはメール内の不審なリンクや添付ファイルもスキャンし、セキュアメールゲートウェイと連携して悪意のあるメッセージをユーザーの受信箱に届く前に隔離・ブロックします。

エンタープライズでAIツールを利用している場合、SentinelOneのPrompt Securityは悪意のあるプロンプトや有害なLLM応答をブロックできます。不正なエージェントAIアクションやウォレット/サービス拒否攻撃も防止します。Prompt SecurityはシャドウAIの利用を防ぎ、倫理的なAIツール利用を促進し、AIコンプライアンスも確保します。SentinelOneの静的・行動AIエンジンは、フィッシング脅威、ゼロデイ、関連マルウェアペイロードをリアルタイムでブロックします。従来のシグネチャベースのアンチウイルス検知よりも優れており、高度化・新種の攻撃も見逃しません。

SentinelOneは、段階的かつ多層的なAI駆動型セキュリティアプローチでフィッシング攻撃も防止します。エンドポイント保護（EPP）、エンドポイント検知・対応（EDR）、拡張検知・対応（XDR）機能を組み合わせて提供します。

まとめ

これでフィッシング攻撃の防止方法が分かりました。オンライン上の情報をすべて鵜呑みにせず、出所が確かでない限り、不審なリンクやメッセージを開かないようにしましょう。これらの対策をすぐに取り入れ、早期に効果を実感してください。手遅れになる前に行動し、常に警戒を怠らないようにしましょう。フィッシング詐欺から身を守り、サイバーおよびクラウドセキュリティを強化しましょう。SentinelOneを味方につけ、サポートが必要な場合は当チームまでご連絡ください。