フィッシングとは何か、そしてなぜ知っておく必要があるのか
毎日、何十億もの偽のメール、テキストメッセージ、ウェブサイトが一つの目的のために送られています。それは、あなたの個人情報を騙し取ることです。この手口はフィッシングと呼ばれ、現在も最も効果的かつ広範に行われているサイバー攻撃の一つであり続けています。技術的に高度だからではなく、コンピューターシステムではなく人間の心理を標的にしているからです。
フィッシングとは?
フィッシングはソーシャルエンジニアリングの一形態であり、攻撃者があなたの銀行、ストリーミングサービス、雇用主、あるいは政府機関など、あなたが信頼する相手になりすまして、本来なら行わないような行動を取らせようとします。その行動とは、悪意のあるリンクをクリックすること、感染したファイルをダウンロードすること、または偽のログインページにパスワードを入力することなどです。
この名称は「fishing(釣り)」をもじったものです。攻撃者は餌を投げ込み、誰が食いつくかを待ちます。
フィッシングはどのように機能するのか?
ほとんどのフィッシング攻撃は予測可能なパターンをたどります。
- 誘い: 正規のものに見えるメッセージが届きます。Netflixの請求アラート、PayPalのセキュリティ警告、または会社のIT部門からの緊急メールを模倣したものである場合があります。
- 罠の仕掛け: メッセージは緊急感を演出します。アカウントが停止されそうだ、不審なアクティビティがある、または今すぐ本人確認が必要だといった内容です。
- 罠: 本物と見分けがつかない偽のウェブサイトに誘導されます。そこで認証情報を入力すると、そのまま攻撃者に送られてしまいます。
さらに巧妙なバリエーションも存在します。スピアフィッシングは、ソーシャルメディアなどから収集した情報を利用して特定の個人を狙った、パーソナライズされた攻撃です。ホエーリングは知名度の高い経営幹部を標的にします。スミッシングはSMSテキストメッセージを使い、ビッシングは音声通話で行われます。
現代のフィッシングサイトの多くはHTTPSを使用して鍵マークを表示しており、多くの人がそれをサイトの安全性の証拠と誤解しています。しかしそれは接続が暗号化されていることを意味するだけであり、サイト自体が信頼できるということではありません。
VPNユーザーにとってなぜ重要なのか
VPNを使えばフィッシングから守られるという誤解がよくあります。しかし少なくとも直接的には、そうではありません。VPNはインターネットトラフィックを暗号化してIPアドレスを隠しますが、偽のウェブサイトに自分から認証情報を入力することを防ぐことはできません。
とはいえ、VPNユーザーがまったく無防備というわけではありません。
- 脅威対策機能を備えたVPNは、ブラウザが読み込む前に既知のフィッシングドメインをブロックします。
- VPNはDNSハイジャックを防ぐことができます。これは攻撃者が正しいアドレスを入力しても密かに偽サイトへリダイレクトするために使う手法です。
- 公共のWi-Fiでは、フィッシングと組み合わせて認証情報を傍受するために使われることがある中間者攻撃をVPNが防ぎます。
ただし、フィッシング対策をVPNだけに頼ることは、誤った安心感につながります。それでも適切なデジタルセキュリティ習慣を身につけることが必要です。
実際の事例
- 「Appleサポート」からアカウントがロックされたというメールが届きます。リンクはapple-support-login.comという、Apple IDを盗み取る巧妙な偽サイトへ誘導します。
- テキストメッセージが銀行による不正検知を伝え、800番に電話するよう求めます。その番号につながるのは、不正対策の専門家を装った詐欺師です。
- HR部門から送られたように見える社内メールが、従業員に新しい福利厚生ポータルへのログインを求めます。実際にはそれは認証情報を収集するための偽ページです。
身を守る方法
- 送信者の表示名だけでなく、実際のメールアドレスを必ず確認する
- クリックする前にリンクにカーソルを合わせ、実際のリンク先URLを確認する
- すべての重要なアカウントで二要素認証を有効にする。パスワードが盗まれても、二つ目の認証要素がなければ無意味になる
- パスワードマネージャーを使用する。偽サイトでは認証情報が自動入力されない
- 疑わしいと感じたら、リンクをクリックせず公式ウェブサイトに直接アクセスする
フィッシングが機能するのは、シンプルかつ大規模に実行できるからです。その仕組みを理解することが、最初の防衛線となります。