フィッシング - フィッシング
正規のサービスを装った偽サイトやメールでユーザーの認証情報・個人情報を詐取する攻撃。全サイバー攻撃の起点として最も多い手法。
概念図
攻撃シナリオ
フィッシングメールの例(ドメイン偽装)
bash
From: security@paypa1.com
Subject: アカウントが制限されています
Body: 以下のリンクからログインして確認してください
https://paypa1-secure.example.com/loginメール認証プロトコルの設定例
bash
SPF: v=spf1 include:_spf.google.com ~all
DKIM: v=DKIM1; k=rsa; p=MIGfMA0G...
DMARC: v=DMARC1; p=reject; rua=mailto:dmarc@example.comフィッシングの種類
- メールフィッシング: 大量のメールを不特定多数に送信する。最も一般的な手法
- スピアフィッシング: 特定の個人や組織を標的にしたカスタマイズされたフィッシング
- ホエーリング: 経営幹部など高位の人物を標的にするスピアフィッシング
- スミッシング(SMS フィッシング): SMS を使ったフィッシング。配送通知や口座通知を装う
- ファーミング: DNS を改ざんし、正規の URL にアクセスしても偽サイトに誘導する
技術的対策
- SPF / DKIM / DMARC: メール認証プロトコルでなりすましメールを検知・拒否する
- メールフィルタリング: 機械学習ベースのフィルターで不審なメールを隔離する
- URL フィルタリング: 既知のフィッシングサイトへのアクセスをブロックする
- FIDO2 / パスキー: フィッシング耐性のある認証方式を採用する。オリジンバインドにより偽サイトでは認証が成立しない
- ブラウザの警告機能: Google Safe Browsing などと連携し、フィッシングサイトへのアクセス時に警告を表示する
関連トピック
ソーシャルエンジニアリング- 人間の心理的な隙を突いて情報を詐取する攻撃手法。技術的な脆弱性ではなく、人的な脆弱性を標的にする。 パスワードポリシー- パスワードの強度・管理・運用に関するルール。NIST SP 800-63B に基づく最新のガイドラインでは、定期変更よりも長く推測困難なパスワードが推奨される。 XSS(クロスサイトスクリプティング)- 悪意あるスクリプトを Web ページに注入する攻撃手法。反射型・格納型・DOM Based の 3 種類がある。 アクセス先 URL の確認- リンクをクリックする前にアクセス先の URL を確認する習慣が、フィッシングやクリックジャッキングなどの攻撃から身を守る基本的な対策になる。