フィッシングと標的型攻撃

フィッシング攻撃の手口

フィッシング（Phishing）とは、正規のサービスを装った偽のメールやWebサイトでユーザーを騙し、IDやパスワード、クレジットカード情報などを窃取する攻撃です。手口は年々巧妙化しており、中小企業の従業員も日常的にこの脅威にさらされています。

フィッシングの典型的なパターン

• 緊急性を煽るメール：「アカウントが停止されます」「不正ログインを検知しました」
• 偽の請求書・配送通知：「荷物の配送に失敗しました」「請求書を添付します」
• 経営者なりすまし：社長や上司の名前で「至急振り込み」を指示
• ドメイン偽装：正規ドメインに似た紛らわしいURL（例：microsoft→rnicrosoft）
• QRコードフィッシング（Quishing）：不正なQRコードで偽サイトに誘導

ビジネスメール詐欺（BEC）

BEC（Business Email Compromise）は、取引先や経営者になりすまして金銭を騙し取る攻撃で、被害額が非常に大きいことが特徴です。

1. 攻撃者がメールアカウントを乗っ取る、または偽ドメインから送信
2. 取引先との正規のやり取りを観察し、タイミングを見計らう
3. 「振込先が変更になりました」と偽の口座情報を送付
4. 経理担当が確認せずに振り込み、被害が発生

対策：振込先の変更依頼があった場合は、メール以外の手段（電話等）で必ず本人確認する運用ルールを設けましょう。

標的型攻撃（APT）

APT（Advanced Persistent Threat）は特定の組織を狙い、長期間にわたって持続的に攻撃する高度な脅威です。大企業だけでなく、取引先として中小企業が踏み台にされるケースが増えています。

• サプライチェーン攻撃：大企業のセキュリティが堅固なため、取引先の中小企業から侵入
• 水飲み場攻撃：ターゲットがよく閲覧するWebサイトを改ざんして感染させる
• やり取り型攻撃：何度かメールでやり取りした後にマルウェア付きファイルを送付

ソーシャルエンジニアリングへの対策

技術的な攻撃だけでなく、人間の心理を突く手法にも備えが必要です。

• 電話での情報聞き出し：IT部門やヘルプデスクを装ってパスワードを聞く手口に注意
• テールゲーティング：入退室時に後ろからついてくる人物の確認を徹底
• ショルダーハッキング：のぞき見によるパスワード窃取。覗き見防止フィルターの活用
• 不審なメールの報告窓口を設置し、従業員が気軽に相談できる体制を作る

攻撃者は「人」を最も脆弱な部分として狙ってきます。技術的対策と合わせて、日常的な啓発活動が不可欠です。