最終レビュー:2024年6月21日

デジタルセキュリティの向上に取り組む中で、セキュリティの目標を妨害しようとする悪意のある人物に遭遇する可能性があります。このような悪意のある人物は、敵対者と呼ばれます。敵対者が、一見無害に見えるが実際には悪意のある電子メール（またはテキストメッセージやアプリ内のメッセージ）やリンクを送信することを「フィッシング」と呼びます。

フィッシング攻撃は通常、次のような行動を促すメッセージの形で届きます。

• リンクをクリックする
• ドキュメントを開く
• デバイスにソフトウェアをインストールする
• 正規のものに見せかけたウェブサイトでユーザー名とパスワードを入力する

フィッシング攻撃は通常、ユーザーを騙してパスワードを盗んだり、マルウェアをデバイスにインストールさせたりすることを目的としています。攻撃者は、マルウェアを使用して、デバイスを遠隔からコントロールしたり、情報を盗んだり、ユーザーをスパイしたりすることができます。

このガイドでは、フィッシング攻撃を見分ける方法と、それを防御するための実用的な方法をいくつか紹介します。

このガイドでは主に電子メールによるフィッシングについて説明しますが、これらの手法は電子メールだけに限定されません。電話、SMS、チャット機能付きアプリでも使用されます。

フィッシング攻撃の種類

パスワードのフィッシング（別名、認証情報の窃取）

攻撃者は、偽のリンクを送信して、パスワードを盗み出そうとします。メッセージ内のウェブアドレスは、一見すると目的のサイトに誘導しているように見えますが、実際には別のサイトに誘導されます。コンピュータでは、リンクにカーソルを合わせると、実際の目的地のURLを確認できます。しかし、リンクは「類似文字」や、正規のドメイン名と 1 文字だけ異なるドメイン名を使用してさらに偽装され、Gmail や Dropbox など、あなたが使用しているサービスを装った Web ページに誘導される場合があります。これらの偽のログイン画面は、本物そっくりで、ユーザー名とパスワードを入力したくなるほど巧妙に作られて います。入力すると、ログイン認証情報が攻撃者に送信されてしまいます。

したがって、パスワードを入力する前に、ウェブブラウザのアドレスバーを確認してください。そこには、そのページの実際のドメイン名が表示されます。ログインしようとしているサイトと一致しない場合は、続行しないでください。ページに企業のロゴが表示されていても、それが本物であることを確認することはできません。ロゴやデザインは、誰でも自分のページにコピーして、あなたを騙すために使用することができます。

フィッシング詐欺師の中には、人気のあるウェブアドレスに似たサイトを使用して、ユーザーを騙す者もいます。https：//wwwpaypal.com/ は https://www.paypal.com とは異なります。同様に、https：//www.paypaI.com （小文字の「L」が大文字の「i」になっている）は https://www.paypal.com とは異なります。多くの人々は、長い URL を読みやすく、入力しやすくするために URL 短縮サービスを使用していますが、これらは悪意のある宛先を隠すために使用される可能性があります。Twitter から t.co リンクのような短縮 URL を受け取った場合は、https://www.checkshorturl.com/ にその URL を入力して、実際の宛先を確認してください。

メールの送信者も信頼しないでください。メールは偽装して、偽の送信元アドレスを表示させることが容易です。つまり、送信者の表示アドレスを確認するだけでは、そのメールが本当にその送信者から送信されたものであることを確認することはできません。

スピアフィッシング（音声フィッシング、SMS フィッシングなど）

ほとんどのフィッシング攻撃は、広範な網を張ります。攻撃者は、エキサイティングなビデオ、重要な文書、配送通知、請求に関する紛争など、何百人、何千人もの人々に電子メールを送信する場合があります。

しかし、フィッシング攻撃は、攻撃者が個人についてすでに知っている情報に基づいて標的を絞って行われる場合もあります。これは「スピアフィッシング」と呼ばれます。ボリスおじさんから子どもたちの写真が添付されているという電子メールを受け取ったと想像してみてください。ボリスには実際に子どもがいるため、そのメールアドレスから送信されたものと思われるため、あなたはメールを開きます。メールを開くと、PDF ファイルが添付されています。PDF ファイルを開くと、ボリス子どもの写真が表示されるかもしれませんが、そのファイルは、あなたをスパイするために使用されるマルウェアをあなたのデバイスに密かにインストールします。このメールは、ボリスおじさんではなく、あなたがボリスおじさん（および彼には子どもがいること）を知っている人物によって送信されたものです。あなたがクリックした PDF 文書は、PDF リーダーを起動しましたが、そのソフトウェアのバグを利用して、独自のコードを実行しました。PDF を表示するだけでなく、あなたのコンピュータにマルウェアをダウンロードしました。そのマルウェアは、あなたの連絡先を取得し、デバイスのカメラやマイクで見たものや聞いたものを記録する可能性があります。

スピアフィッシングのもう 1 つの形態は、音声フィッシングです。これは、攻撃者が特定のターゲットを装い、場合によってはその声の AI クローンを作成することもあります。声が不自然だったり、お金などの異常な要求があった場合は、別の方法で身元を確認してください（2人だけが知っている情報を伝える、別のアカウントからメッセージを送るなど）。

フィッシング攻撃から身を守る最善の方法は、リンクをクリックしたり、添付ファイルを開いたりしないことです。しかし、このアドバイスは、ほとんどの人にとって現実的ではありません。以下は、フィッシングから身を守るための実用的な方法です。

フィッシング攻撃から身を守る方法

ソフトウェアを最新の状態に保つ

マルウェアを使用するフィッシング攻撃は、多くの場合、マルウェアをコンピュータに侵入させるためにソフトウェアのバグを利用します。通常、バグが発見されると、ソフトウェアメーカーはそれを修正するアップデートをリリースします。つまり、古いソフトウェアほど、マルウェアのインストールに悪用される可能性のあるバグが公に知られている可能性が高くなります。ソフトウェアを最新の状態に保つことで、マルウェアのリスクを軽減することができます。

自動入力機能付きパスワードマネージャーを使用する

パスワードを自動入力するパスワードマネージャーは、そのパスワードがどのサイトのものかを記録しています。人間は偽のログインページにだまされやすいですが、パスワードマネージャーはそうはいきません。パスワードマネージャー（ブラウザに組み込まれているものも含む）を使用していて、パスワードの自動入力が機能しない場合は、そのサイトについてよく確認してください。さらに良い方法は、自動入力に頼らざるを得ないようにランダムに生成されたパスワードを使用することです。そうすることで、偽のログインページにパスワードを入力してしまう可能性が低くなります。ただし、ウェブサイトはログインページを変更することができ（実際に変更することもあります）、その場合は、正規のウェブサイトであっても自動入力が正しく機能しなくなる場合があります。疑わしい場合は、メッセージ内のリンクをクリックせずに、ブラウザから直接ウェブサイトのログインページにアクセスしてください。

送信者による E メールおよびテキストメッセージの検証

E メールやテキストメッセージがフィッシング攻撃であるかどうかを判断する方法の 1 つは、その送信者とされる人物に別の手段で確認することです。E メールやテキストメッセージが銀行から送信されたものである場合、リンクはクリックしないでください。代わりに、銀行に電話するか、ブラウザを開いて銀行のウェブサイトの URL を入力してください。同様に、ボリスおじさんから不審な添付ファイルがメールで届いた場合は、そのメールを開く前に、おじさんにテキストメッセージを送って、子どもの写真を送ったかどうかを確認してください。

Google ドライブで不審なドキュメントを開く

一部の人々は、見知らぬ人物から添付ファイルを受け取るすることを想定しています。たとえば、ジャーナリストは情報源からドキュメントを受け取ることがよくあります。しかし、Word ドキュメント、Excel スプレッドシート、PDF ファイルが悪意のあるものではないことを確認するのは難しい場合があります。

このような場合は、ダウンロードしたファイルをダブルクリックしないでください。代わりに、Google ドライブまたは別のオンラインドキュメントリーダーにアップロードしてください。これにより、ドキュメントは画像または HTML に変換され、デバイスにマルウェアがインストールされるのをほぼ確実に防ぐことができます。

新しいソフトウェアの習得に慣れている方、メールや外国語の文書を読むための新しい環境の設定に時間を費やすことを厭わない方、そして、そのための余分な時間に見合うだけのこのような種類のメールを受け取っている方は、マルウェアの影響を制限するように設計された専用のオペレーティング・システムの使用を検討してください。Tails は、使用後に自動的に自身を削除する Linux ベースのオペレーティング・システムです。Qubes は、アプリケーションを慎重に分離して相互に干渉しないようにし、マルウェアの影響を制限する、もう 1 つの Linux ベースのシステムです。どちらも、ノートパソコンやデスクトップパソコンで動作するように設計されています。

また、信頼できないリンクやファイルをVirusTotal に送信することもできます。これは、複数の異なるウイルス対策エンジンでファイルやリンクをチェックし、その結果を報告するオンラインサービスです。これは完全な対策ではありません。ウイルス対策ソフトウェアは、新しいマルウェアや標的型攻撃を検出できない場合が多くあります。しかし、何もしないよりはましです。ただし、VirusTotal や Google ドライブなどの公開ウェブサイトにアップロードしたファイルやリンクは、その企業で働く者、あるいは VirusTotal の場合のようにそのウェブサイトにアクセスできる者なら誰でも閲覧できることにご留意ください。ファイルに含まれる情報が機密情報や重要情報である場合は、別の手段を検討することをお勧めします。

ログイン時にユニバーサル 2 要素認証 （U2F） キーを使用する

一部のサイトでは、フィッシングの試みを回避するために、高度な機能を備えた特別なハードウェアトークンを使用することができます。これらのトークン （または「キー」） は、あなたのブラウザと通信して、ログイン用のサイトごとの認証情報を確立します。これは、ログイン時にパスフレーズに加えて 2 番目の認証方法を要求する標準的な方法であるため、ユニバーサル 2 要素認証または「U2F」と呼ばれています。通常どおりログインし、プロンプトが表示されたら、キーをお使いのコンピュータまたはスマートフォンに接続し、ボタンを押してログインします。あなたがフィッシングサイトにアクセスしている場合、ブラウザは、正規のサイトで確立された認証情報を使用してログインしないことがわかります。つまり、フィッシング詐欺師があなたを騙してパスフレーズを盗んだ場合でも、あなたのアカウントは危険にさらされることはありません。Yubico（このようなキーのメーカーの一つ）は、U2F に関する詳細情報を提供しています。

これは、フィッシング対策機能がある場合もあればない場合もある一般的な「2要素認証」と混同しないでください。 パスキーは、フィッシング対策機能を備えた新しいログインオプションです。提供されている場合は、その使用を検討してください。パスキーを使用すると、あなたのブラウザはどのサイトがどのパスキーに対応しているかを正確に認識するため、偽のウェブサイトにだまされることはありません。

メールによる指示には注意してください

一部のフィッシングメールは、コンピュータのサポート部門やテクノロジー企業を装って、パスワードを返信するよう要求したり、「コンピュータの修理担当者」があなたのコンピュータにリモートアクセスできるようにしたり、デバイスの一部のセキュリティ機能を無効にするよう要求したりします。これらのメールは、多くの場合、強引な口調で、恐怖心を利用してあなたを騙そうとします。

たとえば、あなたのメールボックスが満杯である、またはコンピュータがハッキングされていると主張して、その必要性を説明しているメールがあります。残念ながら、このような詐欺的な指示に従うと、セキュリティに悪影響を及ぼす可能性があります。要求の発信元が本物であると確信できない限り、第三者に技術的なデータを提供したり、技術的な指示に従ったりしないよう、特に注意してください。ほとんどの企業は、あなたのためにトラブルシューティングを行うことはありません。せいぜい、今後の変更やデータ超過に関する通知と、公開文書へのリンクが記載されたメールを送ってくる程度でしょう。

不審なメールやリンクを受け取った場合は、上記のヒントに従って状況を緩和し、悪意のないものであると確信できるまで、そのメールを開いたりリンクをクリックしたりしないでください。

メールソフトで外部画像の表示を無効にする

メール内の画像は、誰がいつメールを開いたかを追跡するために使用される可能性があります。マーケティングメールではよく見かける機能ですが、フィッシングにも利用される可能性があります。そのため、すべてのメールにすべての画像を常に読み込むのではなく、Outlook などのアプリや Gmail などのサービスなど、お使いのメールクライアントの設定で「外部画像を表示する前に確認する」に設定することを勧めます。このオプションを設定すると、各メールで画像を読み込むためにオプションをクリックする必要があります。一部のメールアプリでは、Apple の Mail アプリのように、デフォルトですべての画像をリモートで読み込むなど、その他のプライバシー対策も用意されています。

https：//ssd.eff.org/module/how-avoid-phishing-attacks