見出し画像

フィッシングメールを見分ける方法

Tech

サイバー攻撃の統計によると、攻撃の70%はフィッシングメールから開始されています。ここでは、フィッシングメールを特定し、ハッカーから機密情報を守るための方法をまとめています。


フィッシングメールを見分ける方法

1.疑わしいメールアドレス、リンク、ドメイン名

ハッカーが生成した電子メールアドレス、リンク、およびドメイン名は、多くの場合、識別できます。注視すべき点は次のとおりです。

  • 利用中のメールアドレスが taro.yamada@yourcompany.com だとして、taro@yourcompany.com または yamada@yourcompany.com からメールを受信した場合は、フィッシングの試みである可能性が高いです。攻撃者は、IT部門が新しい電子メールアドレスを割り当てたことを伝え、誘導しようとすることさえあります。メールの内容に関係なく、送信者の身元を再確認してください。

  • 多くのメールにはリンクが含まれているため、特に知っている人や組織から送信されたように見える場合はメールを信頼してしまいがちです。リンクをクリックする前に必ずリンクの内容を再確認し、リンクからマルウェアがダウンロードされたり、正当に見えるが悪意のあるソフトウェアをインストールするように設計されたWebサイトにリダイレクトされたりする可能性があるため注意してください。

  • 送信者のアドレスが侵害されており、本物のドメインまたはクライアントのアドレスからフィッシングメールを受信することもあります。この場合、リンクは悪意のあるものです。

2.文法とスペルの誤り

フィッシング攻撃では、次のような間違いがよく含まれます。

  • 会社名のスペルミス

  • 自分の名前または想定される送信者の名前のスペルミス

  • 重要な構文要素の誤り (形容詞を名詞の前ではなく後に配置するなど)

3.疑わしい添付ファイル

正当な電子メールでは、添付ファイルは通常、本文内で示されています。たとえば、送信者は「レポートを添付しています」と本文に記します。フィッシングメールの添付ファイルは、メールの本文の内容とは関係がない内容の場合があります。たとえば、レポートについて説明しているが、パスワードをリセットする方法に関する手順が添付されているメールなどです。

4.脅威または切迫感

多くのフィッシング攻撃は、被害者に個人情報を開示するように説得するために恐怖心を抱かせる戦術を使用します。攻撃者はまた、ターゲットに当惑させようとし、他の人が自身の秘密を知るのを防ぐための行動をとらせます。たとえば、マルウェア感染を装い、情報システム部門がマルウェアを削除できるようにログイン情報を提供するよう主張する場合もあります。従業員は、一刻も早く状況を改善するために情報共有の招待を受け入れてしまいます。

4.ログイン情報、支払い情報、または機密情報を要求

  • 個人情報を要求する電子メールはすべて疑わしいと見なす必要があります。多くのフィッシングメールは、過去にすでに提供済の連絡先情報など先方が保持しているはずの情報を改めて要求してきます。

  • 企業は特にフィッシング攻撃を回避するために、電子メールで支払いデータのログイン情報を要求しないことが重要です。正当に見える個人情報や機密情報を要求する電子メールを受信した際は、送信されたメールに返信するのではなく、新しい電子メールを作成し、取引先のアドレスを入力し直し連絡することをお勧めします。

フィッシングメールの分析のステップ

ステップ1

ユーザが電子メールを報告するときはいつでも、まず送信者がVIPユーザかどうかを確認する必要があります。VIPからのメールに対しては遅くとも30分以内に返信する必要がある場合が大半です。なぜ、ハッカーはVIPユーザを標的にするのでしょうか。それは、VIPの電子メールはWebサイトに常に公開され容易に入手可能なためです。

ステップ2

メールのヘッダーを分析し、なりすまされているかどうかを確認する必要があります。メールの送信者アドレスがヘッダと異なる場合、なりすましメールである可能性が高いです。スプーフィングされた電子メールのシナリオで、送信者と返信先アドレスが一致しない場合が多いです。MX Toolboxというルーツ使用して電子メールのヘッダーを分析でき、以下の詳細を確認する必要があります。ツールの使用方法も後日、別のNOTEで紹介します。

  • 差出人

  • 返信先

  • 受信者

  • 利用メールアプリケーション(メーラー)

  • X-スパムスコア、X-スパムフラグ、およびX-スパムステータス

  • DMARC レコード

  • 送信元のIPアドレス

ステップ3

メールの本文の内容も含めたメール全体の整合性を確認します。フィッシングメールでは、ほとんどの場合、送信者が使用するメールドメインとメール本文のコンテンツの内容は一致しません。また、上記の段落で述べたように、悪意ある要素があるかどうかを確認します。なお、すべてのフィッシングメールに悪意のあるURLまたは添付ファイルが含まれれ保証はありません。

ステップ4

メールにリンクがあるかどうかを確認します。分離されたサンドボックスまたは app.any.run、urlscan.io などのツールで URL を分析します。URLのリダイレクトなどの詳細を知ることができます。URL を対話的に分析するための分離サンドボックスとして、App.any.run は効果的な対話型サンドボックスです。これらのツールについても、後日、別のNOTEで紹介します。

ステップ5

添付ファイルがあるかどうかを確認します。ファイルをダウンロードしてVTにアップロードし、レピュテーションを確認するか、サンドボックスで分析します。

次にフィッシングメールの分析方法を具体的なサンプルメールをもとに解説します。

フィッシングメールの例

フィッシングメールの例1

分析の例

  • メールヘッダを確認することで、次の内容を見つかります。
    HDFC銀行からの自動メールに見せかけていますが、実際はヘッダーからgmail.com から送信されています。

    • 送信者: KAYWHITEHOUSE247@protonmail[.].com

    • 返信先: 9088734923mr@gmail[.].com

    • IP アドレス: 206.189.233.229

  • メールの送信者と返信先のアドレスが一致しません。

  • メール本文では、リンクをクリックすることに言及していますが、本文にリンクがありません。

  • これらの点から、これはフィッシングメールとして結論付けることができます。


フィッシングメールの例2

分析の例

  • ヘッダーを分析することで、保険会社から発信されたものではないことがわかります。
    .comドメインのメールは、実際はsmartsheetから送信されています。

  • メールにリンクがあり、そのリンクを分離されたサンドボックスで分析すると、次のページに誘導されていることがわかりました “hxxps://pken5073[.]wixsite[.]com/website”

  • レビューボタンをクリックすると、偽のMicrosoftログインWebページにリダイレクトされます。

  • これらの点から、情報窃取型のフィッシングメールであると結論付けることができます。

まとめ

フィッシングメールを効率的に特定するための分析方法を紹介しました。フィッシングメールは、大規模な組織や個人ユーザを攻撃するために最もよく使用される初期段階の武器です。電子メールのより詳細を広く分析する必要があります。