パスワードプロンプトとセキュリティシールドアイコンが付いたスマートフォンへのフィッシング攻撃のイラスト。.

モバイルフィッシングの増加とモバイルフィッシングの防止方法

ユーザーアバター
ケイティ・バイコウスキー
5 1分間の読書

モバイルフィッシング攻撃の手口と「ミッシング」の防止方法“ 

パンデミックは私たちのコミュニケーション方法に革命をもたらしました。同僚や従業員と話すためにソファから立ち上がらなければならなかった時代は終わりました。今では、Zoom、メール、会議のスケジュール設定など、携帯電話さえあれば何でもできます。しかし、この便利さには代償が伴います。.

世界中で150億台以上の携帯電話が普及している今、悪意のある攻撃者がモバイルデバイスを使ってデータや個人情報を盗むのも不思議ではありません。リモートワークやBYODの文化は、ハッカーが企業の従業員を標的にするためのより容易な手段となっています。最も被害の大きい攻撃の一つは、モバイルフィッシング、または「ミッシング」です。.

フィッシング攻撃は1990年代半ばから存在し、当初はメールを標的としていました。今日では、より巧妙化しており、モバイルデバイス上でのフィッシングが蔓延しています。モバイルフィッシング攻撃の高頻度発生は、より多くの作業を必要とします。 セキュリティオペレーションセンター(SOC)チーム 管理するには。モバイルフィッシングの脅威の増大とその対処方法について、詳しくは以下をお読みください。.

モバイルフィッシングとは何ですか?

モバイルフィッシングは、スマートフォンやタブレットなどのモバイルデバイスを利用して悪意のあるコンテンツを送りつけるフィッシング攻撃の一種です。従来、フィッシング攻撃はメールやウェブページを通じて行われてきました。しかし、インターネットがモバイルフレンドリーになり、人々がスマートフォンに費やす時間がかつてないほど増えているため(例えば、アメリカ人はスマートフォンで過ごす時間がほぼ100時間です)、モバイルフィッシングは増加の一途を辿っています。 スマートフォンを1日4.8時間使用)、サイバー犯罪者は、ユーザーを攻撃するためのこの新しい手段に注目し始めました。.

モバイルフィッシング攻撃は、通常のメールフィッシングの範囲を超えているため、検知が困難です。SMSベースの攻撃(スミッシング)、悪意のある音声通話(ヴィッシング)、そしてアプリベースのフィッシングは、その頻度と深刻度が爆発的に増加しています。また、モバイルデバイス向けに特化して設計されており、ユーザーが既に日常的に使用している正規アプリへの信頼を前提としているため、防御がさらに困難になっています。

  • SMS/テキストメッセージ – フィッシングメールは、銀行アプリ、配送業者、 あなたのCEOでさえ.

  • ボイスメール – 単なる車の延長保証ではなく、フィッシング攻撃では IRS、ローン提供者などを装います。.

  • Facebook Messenger – メッセージ内の疑わしいリンクに注意してください。, Facebookの友達からでも.

  • WhatsApp – 攻撃は被害者を狙う可能性がある アプリ内 そして 電子メール経由.

モバイルフィッシング攻撃のさまざまな手法

モバイルフィッシング戦略は、モバイルデバイスのユーザーを欺き、機密情報を漏洩させるために巧妙な手法を用います。最も一般的な手法は以下のとおりです。

  1. URL パディング: サイバー犯罪者は長い URL 内でドメインを使用し、悪意のあるサイトを隠します。.
  2. 短い URL: 攻撃者は、大規模な攻撃において、SMS フィッシング (スミッシング) に短縮リンクを使用します。.
  3. 画面オーバーレイ: フィッシング アプリはモバイル アプリを模倣してユーザー認証資格情報を盗み出します。特にモバイル バンキングや決済アプリをターゲットにします。.
  4. モバイル検証: フィッシング サイトはデバイスの種類をチェックして、モバイル固有の攻撃を展開します。.
  5. SMS スプーフィング (OTA): 偽のテキスト メッセージがシステム アップデートとして表示され、ユーザーを騙してリンクをクリックさせ、データを傍受する可能性があります。.

これらの戦術はモバイル デバイスの脆弱性を悪用し、ユーザーが電話を介したフィッシング攻撃を受けやすくします。.

ミッシング vs フィッシング

モバイルフィッシングと従来のフィッシングの違いは、その配信方法です。従来のフィッシングメールはEメールで送信されますが、モバイルフィッシングは、多くの人が携帯電話を銀行取引、ショッピング、ビジネスに利用しているという事実を悪用します。これにより、攻撃対象領域が拡大し、テキストメッセージ、通話、ボイスメール、アプリ、ソーシャルメディアプラットフォームなどが含まれます。配信方法が主な違いかもしれませんが、他にも考慮すべき重要な要素があります。.

携帯電話フィッシングの増加

  • 74%の企業 昨年スミッシング攻撃に遭った。.

  • 2021年、調査対象企業の61%がソーシャルメディアのフィッシング攻撃に対処しました。.

  • 51%の組織 従業員が個人のモバイル デバイスから企業アプリケーションにアクセスできるようにします。.

  • モバイル デバイスに対するフィッシング攻撃は、毎年 85% の割合で一貫して増加しています。.

  • 42% の組織が、モバイル デバイスと Web アプリケーションの脆弱性によりセキュリティ インシデントが発生したと報告しています。.

  • フィッシング サイトの 75% は、特にモバイル デバイスをターゲットにしていました。.

  • インターネット上には、マルウェアサイトよりもフィッシングサイトの数が約75倍も存在する。 Googleセーフブラウジング.

  • アイルランド銀行は 80万ユーロの支払いを余儀なくされた たった一度のスミッシング攻撃で 300 人の銀行顧客が被害に遭いました。.

  • 2024年には、, フィッシングサイト80% 現在、特にモバイル デバイスをターゲットにしており、モバイルに特化した攻撃が大幅に増加しています。.
  • 企業に対するモバイルフィッシング攻撃が成功した場合の平均コストは 現在$450万.

モバイルフィッシング対策チェックリスト

モバイルフィッシング詐欺は24時間いつでも発生しているため、常に防御体制を整えておくことが重要です。フィッシング対策と対応策として考慮すべき点をいくつかご紹介します。

  1. 従業員の教育: 予防こそが最大の防御策です。モバイルフィッシング対策を従業員の定期的なセキュリティ研修に必ず組み込んでください。よくある危険信号や実例を取り上げ、従業員が注意すべき点を明確にしましょう。組織内にセキュリティ第一の文化を確立することで、フィッシング攻撃の成功率を低下させることができます。.

  2. 証拠を集める: 従業員に対し、標的のモバイルデバイスから送信された悪意のあるテキスト、メッセージ、メールのスクリーンショットを送信するよう促し(送信者をブロックするよう注意喚起してください)。従業員がフィッシング攻撃の被害に遭った場合、成功した攻撃の様子を把握することが非常に重要です。.

  3. データを分析する: 十分なデータが収集されれば、セキュリティチームは攻撃の傾向を迅速に特定できます。例えば、CEOになりすましたスミッシング攻撃の増加に気づいた場合、それは全社的なセキュリティアラートを送信する絶好の機会となります。.

  4. 持つ インシデント対応計画: 従業員が不正なリンクをクリックしたり、個人情報を共有したりしたことはありませんか? さあ、IR(インシデント対応)手順を発動しましょう。デバイスの隔離、社内システムの調査、影響を受けた他のユーザーのログ確認など、必要な手順をチームで文書化しておくことが重要です。.

  5. BYODポリシーを確立する: 作成する 自分のデバイスを持参する オフィス内、ハイブリッド、リモートワークのいずれの場合でも、ポリシーは必須です。 従業員の退職, 、デバイスの紛失、盗難、デバイスの更新など。.

最新のツールでフィッシングをトリアージする: 
セキュリティ自動化

モバイルフィッシング攻撃は、今後も頻度と巧妙さを増していくでしょう。リモートワークやモバイルデバイスへの依存度が高まり、こうした攻撃はさらに激化していくでしょう。セキュリティチームは毎日数千ものアラートを受け取っており、リーダーたちはフィッシングの脅威に先手を打つための対策を模索しています。.

セキュリティ自動化プラットフォームは、モバイルフィッシング攻撃の増加に対抗するソリューションを提供します。. 自動化の利点は次のとおりです。

  • 自動調査と隔離により SOC アナリストの時間を節約

  • ダッシュボードからフィッシング攻撃を可視化

  • 完全に自動化されたワークフローで誤検知をブロック

  • リアルタイムのケースコラボレーションで効率を向上

  • 平均解決時間(MTTR)の短縮など、セキュリティ指標の改善

自動化を導入する目的は、SOCチームがより多くの脅威をより迅速に阻止できるようにすることです。これらのプラットフォームは、SOCアナリストの時間を奪う、反復的で単調なタスクを自動化します。.

SOCにセキュリティ自動化を導入する場合でも、手動のIRプロセスを構築する場合でも、モバイルフィッシングは脅威レーダー上に常に存在する必要があります。従業員への教育を実施し、拡大する攻撃対象領域を保護し、徹底したインシデント対応プロセスを構築しましょう。.

モバイルフィッシングに関するよくある質問

モバイルフィッシング番号を検索するにはどうすればいいですか?

モバイルフィッシング詐欺の電話番号を検索するには、オンラインの電話番号逆引き検索サービスや、スパムやフィッシング詐欺の電話を識別・報告するためのモバイルアプリを利用できます。これらのサービスは、電話番号が疑わしい活動や詐欺行為の報告を受けているかどうかを確認するのに役立ちます。.

iPhoneでフィッシングは可能ですか?

フィッシング攻撃はiPhoneを標的とすることがあります。フィッシング攻撃は、ユーザーが使用しているデバイスに関係なく、ソーシャルエンジニアリングの手法を用いてユーザーを欺きます。iPhoneでもフィッシングメールやテキストメッセージを受信したり、フィッシングサイトに遭遇したりする可能性があります。オンラインセキュリティのベストプラクティスに従い、常に注意を払うことが重要です。.

フィッシングで携帯電話がハッキングされる可能性はありますか?

フィッシングは、スマートフォンのセキュリティ侵害につながる可能性があります。フィッシング攻撃は、ユーザーを騙して個人情報を漏洩させたり、悪意のあるソフトウェアをダウンロードさせたりすることを目的とします。攻撃が成功すると、データの盗難、不正アクセス、デバイスの制御につながる可能性があります。.

サイバーセキュリティにおけるミッシングとは何ですか? 

ミッシング(モバイルフィッシング)は、詐欺師が SMS やメッセージング アプリを使用してユーザーを騙し、機密情報を開示させたり、悪意のあるリンクをクリックさせたり、マルウェアをダウンロードさせたりするためのサイバー攻撃です。.

モバイル デバイスでは他にどのような種類のフィッシング攻撃が発生する可能性がありますか?

ミッシング以外にも、モバイル ユーザーは次のような問題に直面する可能性があります。

  • スミッシング – SMS/テキストベースのフィッシング
  • キッシング – QRコードを使ったフィッシング
  • ヴィッシング – 音声通話フィッシング
  • アプリベースのフィッシング – データを盗む悪意のあるアプリ

モバイルのフィッシングセキュリティは、コンピューターやラップトップとどう違うのでしょうか?

モバイルフィッシングはSMS、メッセージングアプリ、QRコードを悪用するため、従来のメールフィッシングよりも検知が困難です。また、モバイルデバイスは画面が小さく、セキュリティツールも限られているため、悪意のあるリンクを誤ってクリックしてしまうリスクが高まります。.

高度なパネル フィルタリングと自動ロジック検索を備えた Swimlane Turbine プレイブック インターフェイスを示すアニメーション GIF。.

スイムレーンタービンの動作を見る

専門家によるSwimlane Turbineのライブデモをご予約ください。AI対応のセキュリティ自動化プラットフォームが、セキュリティ組織全体の最も困難な課題の解決にどのように役立つかをご覧ください。.

デモのリクエスト

タグ

2022 年 11 月 30 日
企業のモバイルデバイスセキュリティに対する5つの脅威とその対策
続きを読む
2022 年 9 月 26 日
餌に引っかからないで:自動化されたフィッシング調査と対応
続きを読む
2024 年 7 月 23 日
4つの自動化されたフィッシング対策技術
続きを読む

ライブデモをリクエストする