2020年12月25日 / 最終更新日 : 2021年11月1日 azumi セキュリティ

フィッシング詐欺はどんな種類がある?


フィッシング詐欺はどんな種類がある?

フィッシング詐欺は、近年被害が拡大し、手口が巧妙化してきたことで、完全な防止が困難なため、普及が進んだインターネット社会の重大な課題となっています。フィッシング詐欺の手口の巧妙化とともにフィッシング詐欺の種類も増えてきています。今回はフィッシング詐欺の種類に注目し、それぞれの手口を紹介します。

フィッシング詐欺とは?

フィッシング詐欺とは、一般的にインターネットを使って以下のような手口で行われる詐欺行為全般をさします。

  • 実在の金融機関、クレジットカード会社、ショッピングサイトの企業になりすましてメールをターゲットに送る
  • メールに張り付けたリンクからターゲットを偽サイトに誘導し、ターゲット個人の重要情報である暗証番号などを入力させ、それをつかってお金を引き出すなどの搾取を実行する

フィッシング詐欺被害の現状

従来、フィッシング詐欺の多くは英語表示であったり、日本語表示であっても表現に違和感があり、明らかに偽メールや偽サイトであることが分かるものが大半を占めていましたが、最近では、日本語の表現が完璧で、日常生活で普段使用している大手の金融機関やショッピングサイトなどのサービス事業者になりすました偽メールや偽サイトを使ったフィッシング詐欺がユーザーに向け発信されています。こうした、フィッシング詐欺の巧妙化によってフィッシング詐欺の被害は増加しています。

フィッシング詐欺の種類

フィッシング詐欺の種類

フィッシング詐欺の手口の巧妙化とともにフィッシング詐欺の種類も増えてきています。ここでは代表的なフィッシング詐欺の手口を5つ紹介します。

1.スピアフィッシング

スピアフィッシングとは、ターゲットを絞ってフィッシング詐欺を仕掛ける手口です。不特定多数にメールを送るフィッシング詐欺と比較すると、非常に精度が高いのが特徴です。スピアフィッシングでは、ターゲットについて調査を重ね、ターゲットが送受信を実際におこなうであろうと想定される偽メールを作成し、フィッシング詐欺を仕掛けます。たとえば、取引先の企業担当者からのメールになりすましてターゲットにメールを送るといった事例がみられます。

2.ビッシング

ビッシングとは、電話を使ったフィッシング詐欺です。一般的にフィッシング詐欺は、偽サイトのリンクを載せたメールを使って偽サイトに誘導し、重要な情報などを入手しますが、ビッシングではユーザーに電話をかけて巧みに偽サイトや音声誘導システムに誘導し重要な情報などを入手します。

3.スミッシング

スミッシングとは、スマートフォンのSMSを使ったフィッシング詐欺の手口です。最近SMSは、オンラインサービスの認証に使われることが多く、日常的に違和感なくターゲットが開ける可能性が高いため、そこを狙ったフィッシング詐欺の手口として増加傾向にあります。

スミッシングでは、金融機関やイーコマースサイトになりすましたSMSメッセージをユーザーに送信し、SMSメッセージに載せたURLの偽サイトから、ターゲットの重要な情報(個人情報、口座情報、クレジットカード情報)を入手する流れで実行されます。

4.ホエーリング

ホエーリングは、最高経営責任者(CEO)や最高財務責任者(CFO)など企業の幹部をターゲットにしたフィッシング詐欺です。一般的にフィッシング詐欺は偽メールを大量送信して詐欺を行う手口ですが、ホエーリングは、ターゲットを絞ってフィッシング詐欺を仕掛けるスピアフィッシングの一種で、スピアフィッシングのなかでも特に巧妙な手口です。

現代は、Facebook、LinkedIn、TwitterなどのSNSの普及からインターネット上に個人の情報があふれている時代になっています。そこに着目したのがホエーリングで、Facebook、LinkedIn、TwitterなどのSNSのオープンソースやセミオープンソースから、個人的な情報を入手し、ターゲットが思わず開けてしまうような偽メールを作り上げホエーリングを実行するのです。

5.BEC

BEC(Business Email Compromise:ビジネスメール詐欺)は、社員がおこなう業務で受信する取引先や経営者からのメールを偽造して金銭を送金させるフィッシング詐欺です。

BECは、綿密に準備され、偽メールや請求書は非常に精巧に作成されており、世界中で多くの企業が被害を受けています。

BECは、ターゲットする企業のビジネス上の取引情報などを調査し、さまざまな入手手段によって重要な情報を盗み取ることで、実際におこなわれている取引先との送金のやり取りとそっくりな手順のメールを送信し、不正送金によって金銭搾取を実行することを目標としています。

日本企業におけるBECの被害は、海外にある日本拠点をターゲットとした英語でのメールがメインでしたが、近年は日本語を使用した偽メールも確認されています。

まとめ

フィッシング詐欺の手口の巧妙化とともにフィッシング詐欺の種類も増えてきています。インターネットを使うことは現代のビジネスやライフスタイルに定着して後戻りはできません。インターネットという便利なツールを手に入れた半面、付随して出てきたフィッシング詐欺などに対して、継続的に内容をつかみ、対応していくことが必要になってくるでしょう。

www.skyarch.net
クラウド セキュリティ ソリューション
https://www.skyarch.net/security/
スカイアーチでは、ご利用中の環境での セキュリティ対策 にお悩みの方に、ご要望に応じた セキュリティ 商材をご提供いたします。セキュリティ導入 に関する支援も行っておりますので、お気軽にご相談ください。

カテゴリー
セキュリティ
タグ
セキュリティ
Emotetとは

前の記事

Emotetとは
2020年12月24日
セキュリティ
ソーシャルエンジニアリング攻撃とは?

次の記事

ソーシャルエンジニアリング攻撃とは?
2020年12月29日