サイバー攻撃には大きく以下のタイプがあるらしい。

・標的型攻撃
・非標的型攻撃
・負荷攻撃
・OS・ソフト・WEBサイトなどの脆弱性を狙った攻撃
・パスワード関連のサイバー攻撃

今回はこの中の「非標的型攻撃」について。


「非標的型攻撃」とは「不特定多数の人を相手に行うサイバー攻撃」。

ここでは非標的型攻撃攻撃の中で、以下のものを記載している。
・フィッシング詐欺
・スミッシング
・ビッシング
・リバースビッシング
・ゼロクリック詐欺
・ジュースジャッキング攻撃
・ディープフェイク(フェイクビデオ攻撃)
・タイポスクワッティング
・クリックジャッキング
・中間者攻撃



「フィッシング詐欺」とは「偽のWebサイトから、クレジットカードやアカウント情報などを入力させることで、それの情報を盗み取るサイバー攻撃」。
偽のWebサイトへの誘導は、メールやLINEなどにそのWebサイトへのURLを送ることなどで行っている。

対応策は、メールに書かれているURLを押さないようにしたり、そこから飛んだURLの先で秘匿情報を入力するよう求められたら、ドメインを確認して本物のサイトと同じかどうか確認するなど。

ちなみにフィッシング詐欺でも標的型攻撃のように特定のターゲットを行うものがあり、それは特に「スピアフィッシング」と呼ぶらしい。


「スミッシング」とは「SMSから、偽のWebサイトに誘導し、そのWebサイトから、クレジットカードやアカウント情報などを入力させることで、それの情報を盗み取るサイバー攻撃」。
フィッシング詐欺の誘導手段を「SMS（ショートメッセージサービス）」に限定したもの。
つまり電話番号さえわかれば送れてしまう。

名前の由来は「SMS」＋「フィッシング」らしい。

対応策はフィッシング詐欺と同じ。


「ビッシング」とは「ターゲットに電話をかけ、そこから相手のクレジットカードの情報などを聞き出す手法」。
ここでいう電話は普通の電話だけでなく、スカイプなどの音声通話も含む。
自動音声を使っていることもあるらしい。

相手を見破るのが難しいらしく、電話（音声通話）でかかってきた相手は、本当は誰かわからないということを念頭に置くのが大切なのかもしれない。


「リバースビッシング」とは「ターゲットから電話をかけさせ、そこから相手のクレジットカードの情報などを聞き出す手法」。
ビッシングでは攻撃者⇒ターゲットに電話をかけていたが、リバースビッシングではその逆を行う。
この時電話をかけさせたい電話番号を、GoogleMapやWikipediaなどの第三者でも編集できてしまうサービス上に掲載することで、攻撃者側の電話番号に電話させることもあるらしい。


「ゼロクリック詐欺」とは「Webサイトを開いたときに、料金を請求するようなメッセージを表示させることで金銭を要求する手法」。
ワンクリック詐欺は、Webサイトを開いて何らかのボタンを押した後に、そのメッセージが表示される。

対応策は無視。

「ジュースジャッキング攻撃」とは「公共のUSBポートやUSBケーブルにマルウェアを仕込み、そこに接続した機器にマルウェアを感染させるなどのサイバー攻撃」。

対応策は、充電専用（データ転送できない）USBケーブルを使う、自分用のモバイルバッテリーを使うなど。

「ディープフェイク」とは「AI技術で有名人の顔や声を真似た映像、音声」。

これにより自分の好きな内容をあたかも有名人の誰かが言ったかのように見せることができる。


「タイポスクワッティング」とは「URLの打ち間違いを利用し、自身のWebサイトへ誘導する手口」。
例えば正規のサイト「domain.com」に対して「domein.com」といった、ありそうな間違いのドメインを取得し、そこに自身のWebサイトを設置。そしてそこからマルウェアをダウンロードさせたりする。

ウィルス対策ソフトなどが対応策になる。


「クリックジャッキング」とは「Webサイト上に透明なリンクを置いて、そこからスクリプトを実行させたり別ページへ遷移させたりする手法」。
例えば通常のWebサイトの「ホームボタン」の上に、悪意あるサイトへのリンクを透明にして配置したりする。

対応策は「JavaScript」を無効化するなど。
そのWebサイトの作成者であれば、httpレスポンスヘッダーに「X-Frame-Options」を含めることで対応が可能。


「中間者攻撃」とは「二者間の通信を傍受して、盗聴・改ざんを行うこと」。

対応策は、フリーwifiを使わないようにしたり、TLS暗号化（httpsで始まるURL）しているサイトであることを確認するなど。


サイバーセキュリティ.com：こちら