フィッシング
最新のフィッシング戦術、その仕組み、サイバー脅威から組織を保護するための実証済みの戦略を紹介します。
フィッシングとは
フィッシングについては、多くの人がご存じでしょう。インターネットやスマート デバイスを使用しているなら、メール、テキスト メッセージ、電話、SNSの投稿のいずれか、あるいはそのすべてでフィッシング攻撃に遭遇したことがあるはずです。
フィッシングは、その悪評のとおり深刻な脅威となっています。また、生成AIの普及によってフィッシングは急増しており、これまで以上に高度な手法でかつてない量の攻撃が実行されています。
ソーシャル エンジニアリング:信頼を悪用するフィッシング
人間は自分の目で確認した情報を信用する傾向があります。その情報の発信元が信頼できるものであれば、この傾向はさらに強くなります。つまり、フィッシング攻撃を成功させる鍵となるのは、信憑性の高い嘘なのです。そして、その嘘を使った手法をソーシャル エンジニアリングと呼びます。攻撃者は、同僚、友人、法執行機関、信頼できるブランドなど、あらゆるものになりすまし、私たちの警戒心を解こうとします。この手法は実際に効果があり、サイバー攻撃の90%でソーシャル エンジニアリングが行われています。¹
詳細はこちら:フィッシングとは
攻撃者は生成AIを悪用した巧妙な手法を新たに生み出しており、2023年のフィッシング攻撃の増加率は前年比58.2%となりました。
フィッシング攻撃の種類
すべてのフィッシング攻撃は、ターゲットにマルウェアのダウンロード、悪意のあるリンクのクリック、特権的な情報の開示を仕向けるなど、同じような目的の下に実行されます。しかし、攻撃者はさまざまなアプローチや媒体を使用して、メッセージをパーソナライズし、信憑性を高め、切迫感を演出します。最も一般的なフィッシング攻撃には以下のようなものがあります。
メール フィッシングは、最も古典的な種類のフィッシングです。攻撃者は詐欺メールを送信し、相手に何らかの行動を促します。メールは広範囲に簡単に配信できるうえ、要素の多く(送信者やヘッダー)は偽装しやすいため、参入のハードルが低い手法です。
ビッシング(音声フィッシング)は電話またはVoIPを介して行われます。リアルタイムで直接やり取りをするため、切迫感をあおり、社会的本能にも強く訴えかける手法です。今日の高度なビッシング攻撃は、発信者番号の偽装や音声ディープフェイクなどの手法を組み合わせて実行されるケースが多くなっています。詳細はこちら。
スミッシング(SMSフィッシング)は、テキスト メッセージやSNSのDMを通じて行われます。メールによるフィッシングと似ていますが、テキスト メッセージはより個人的な印象を与え、ほとんどの人が削除する前に内容を読むことから、高い効果を発揮する可能性があります。詳細はこちら。
スピア フィッシングは、少人数の集団、または特定の個人を狙った高度に標的化された攻撃です。特定の媒体に限定することなく、相手の具体的な情報を利用して内容をパーソナライズし、詐欺目的の要求の信憑性を高める手法です。詳細はこちら。
中間者(MiTM)フィッシングは、2者間の通信をリアルタイムで密かに傍受して操作する高度な攻撃です。メッセージの改ざん、悪意のあるWebサイトへのリダイレクト、機密データの収集などを行います。詳細はこちら。
Identifying Phishing Attacks: Common Types, Key Tactics, and Prevention Tips
フィッシングの手法と戦術
フィッシング攻撃者は、相手の信頼、恐怖、不注意などを利用し、あらゆる手段でターゲットの行動を誘導
現在、攻撃者はこれまで以上に多くの選択肢を手にしています。
クイッシング(QRコード フィッシング)
通常のハイパーリンクの代わりに悪意のあるQRコードを使用します。QRコードはハイパーリンクと同様の機能を持つものの、ハイパーリンクほど注意深く確認されない傾向にあります。
ビジネス メール詐欺(BEC)
ターゲットの同僚や上司のメール アカウントを侵害または偽装して、機密情報、送金、特権アクセスを要求します。
AIを悪用したフィッシング攻撃:サイバーセキュリティ上の脅威の増大
ディープフェイク フィッシング
AIで生成した音声や動画を使用して、ターゲットが信頼する人物になりすます手法です。生成された音声や動画は本物とほとんど見分けがつかない場合もあります。ディープフェイク攻撃の詳細は、以下のブログでご確認ください。
LLM活用型フィッシング
ChatGPTのような生成AIモデルを使用して、誤りを最小限に抑えた正確な翻訳テキストを生成し、異なる言語の話者に対しても巧妙な攻撃を行います。
企業を標的としたフィッシング攻撃の43.1%がMicrosoftブランドを悪用
2025年版 ThreatLabzフィッシング レポートで詳細をご確認ください。
フィッシングにおけるAIの役割
AIを悪用したフィッシングは依然増加傾向
AIを悪用した不正の巧妙化は今後も続いていくことが予想されます。無害な本物のメッセージと見分けることは、さらに困難になっていくでしょう。フィッシングに関するZscalerの予測の詳細は以下のブログでご確認ください。
2025年のフィッシングに関する最新予測
2025年のサイバーセキュリティの動向:AIを悪用した脅威と内部リスク
フィッシングが成功するまでの時間の中央値はわずか49秒です²。データ侵害による損失額の世界平均が500万ドルに迫っており³、フィッシングの防止が求められています。
検出と防止の戦略
Zscalerは、攻撃の各段階でフィッシング攻撃を防ぐためのソリューションをスイートとして提供しています。
Zscaler Internet Access™は、クラウド ネイティブなプロキシベースのゼロトラスト プラットフォームを介して、すべてのインターネット トラフィックをルーティングおよび検査することで、悪意のあるアクティビティーを特定、阻止し、以下を効果的にブロックします。
- 悪意のある危険なURLおよびIP:広くフィッシングに使用されている、ポリシーで定義された高リスクのURLカテゴリーなど
- IPSシグネチャー:フィッシング キットやフィッシング ページに関するZscaler ThreatLabzの分析を基に定義されたもの
- 新しいフィッシング サイト:AI/MLを活用したコンテンツ スキャンで特定されたもの
高度な脅威対策は、すべての既知のコマンド&コントロール(C2)ドメインをブロックし、マルウェアが攻撃者と通信したり、データを外部に持ち出したりするのを防ぎます。
Zero Trust Firewallは、C2保護として新規宛先のC2通信も含めてポートやプロトコル番号にかかわらず検出、ブロックします。
Zscaler ITDR(アイデンティティー脅威の検知と対応)は、継続的な可視化、リスク監視、脅威検知により、IDベースの攻撃のリスクを軽減します。
Zero Trust Browserは、悪意のあるコンテンツやリスクの高いコンテンツをピクセルとしてユーザーにストリーミングすることで、ネイティブに近い操作体験を提供しながら、データ漏洩を防ぎ、アクティブな脅威の侵入を防止します。
Cloud Sandboxは、第2段階のペイロードで配信される未知のマルウェアを防止します。
DNSセキュリティは、DNSベースの攻撃や情報の持ち出しを防ぎます。
Zscaler Private Access™は、最小特権アクセス、ユーザーとアプリ間のセグメンテーション、プライベート アプリのトラフィックに対する完全なインライン検査でラテラル ムーブメントを制限します。
AppProtectionは、アプリケーションのすべてのペイロードを検査し、脅威を可視化します。
ツール
フィッシング、ボットネット、ドライブバイ ダウンロードなどのリスクをもたらすセキュリティ ギャップを確認:
あらゆるURLを数秒で分析して安全性を確認し、1日あたり数万件出現するフィッシング サイトのリスクを軽減:
1. Gen Digital、Q2 2024 Cybersecurity Trends。
2. Verizon、2024 Data Breach Investigations Report。
3. IBM、Cost of a Data Breach Report 2024。
ゼロトラストの基本知識
その他のトピック
リソース ハブで基礎知識やユース ケース、メリット、戦略について学べます。