By : admin

全メールの56.51%がスパム(Kaspersky)、2019年に米国組織の65%がフィッシング攻撃の成功に直面(Proofpoint)! しかし、これらは異なるものなのでしょうか? 素人目線でスパム vs フィッシングを探ってみましょう!

Spam vs phishing – 人々は「スパム」と「フィッシング」という言葉を使い分けていますが、この言葉は関連性はあっても意味は異なります。 どちらも、ターゲットを操作して何かをさせようとする、厄介な未承諾の通信を表す用語です。 これは、個人情報、ログイン情報など、あなた自身に関する何らかの情報を提供すること、または悪意のあるリンクやファイルに関与することを意味します。

しかし、スパムの意味とフィッシングの意味は何なのでしょうか? この記事では、スパムとフィッシングについて詳しく説明します。 また、メール、電話、テキストメッセージの観点からスパムとフィッシングの違いを探ります。

Spam vs Phishing: Origins and Meanings of the Terms

What Is Spam?

あらゆる未承諾または不要な商用メッセージは、一般にスパムとみなされます。 Digital Trends によると、「スパム」という言葉自体は、缶詰の肉 Spam に言及した Monty Python のスキットにちなんで、1980 年代にさかのぼると考えられています。 ブラッド・テンプルトン(世界初のインターネットを利用したビジネスの創始者)の調査によると、「スパム」という言葉は、「非常に迷惑なほど繰り返し、繰り返されるもの」という意味であることが分かっています。”

スパムの目的は、製品やサービスのマーケティングや宣伝をするメッセージでできるだけ多くの人をあふれさせることだ。 これは基本的に、郵便配達員が自宅の郵便受けに配達する迷惑メールの封筒やはがきの全てに相当するデジタルなものです。 IBMのX-Force Threat Intelligence Index 2020レポートでは、スパムは数字のゲームであると表現しています。 「十分な量があれば、わずかな成功率でも脅威行為者にとって価値を生むのに十分である」

基本的に、十分な量の電子メールを送信すれば、最終的には誰かが、どこかで詐欺に引っかかることになるのです。 これが、スパム メッセージがターゲットを絞らず、大衆に届く理由です。

  • 電子メール、
  • 電話(テレマーケティングやロボコール)、
  • SMS フィッシング メッセージ(テキストメッセージ)の 3 つの方法で、詐欺師はスパムを使用します。 彼らは頻繁に、将来のスパムの試みに使用できるように、個人情報を提供させようとします。 また、時には悪意のあるメールもあります(フィッシングメールよりは頻度が少ないですが)。

    フィッシングとは

    フィッシングとは、詐欺師やサイバー犯罪者が法人になりすましたり、その他の方法でターゲットから金銭をだまし取ったりする手法です。 フィッシングメッセージは、合法的に見えるように設計されていますが、人々を傷つけ、操作し、騙して、通常はしない、またはすべきではないことをさせようとする意図があるため、一般的にスパムよりも危険です。 したがって、スパム対フィッシングについて話すとき、その違いは送信者の意図とメッセージの内容にあります。

    フィッシング・メールの目標は、ユーザーに情報を共有させたり、リンクをクリックさせたり、悪意のある添付ファイルを使用させたりすることです。 リンクでは、ユーザーの認証情報を盗んだり、不注意で悪意のあるソフトウェアをダウンロードさせたりしようとします。 また、添付ファイルでは、マルウェアをインストールさせようとします。 いずれにせよ、あなたにとって悪いニュースです。

    フィッシングの最も一般的な種類は、

    • フィッシングメール(クジラフィッシング、スピアフィッシングを含む)、
    • 電話(ビッシング)です。
    • SMS(スミッシング)、
    • Wi-Fiポートフィッシング(エビルツイン)、
    • HTTPSフィッシング、
    • アングラーフィッシング(ソーシャルメディアの投稿やプロフィールのクローン)。

    電子メールにおけるスパム vs フィッシング

    電子メールは最も一般的なスパムおよびフィッシングの手法と言えるでしょう。 そして、そのために、スパムメールとフィッシングメールをどのように見分けるかについてお話します。

    電子メールの文脈におけるスパムとは何ですか?

    製品、サービス、Webサイトのコンテンツの商業的な広告や宣伝を目的として発信された電子メッセージは、スパムと見なされます。 CAN-SPAM act として知られている、Controlling the Assault of Non-Solicited Pornography And Marketing Act of 2003 のもと、電子メールスパムは合法な活動です。

    送信者が順守しなければならない CAN-SPAM 規則の主要項目は、次のとおりです。

  • 送信者の電子メールアドレスは正確でなければならない。 また、「from」行は誤解を招くものではなく、メッセージの件名はメッセージの本文に関連していなければなりません。
  • 送信者の物理的な住所は記載されていなければなりません。 送信者(企業、個人の送信者、広告主、第三者のマーケティング会社)の物理的な住所(または私書箱番号)がメールに記載されていなければならない。
  • 受信者は、メールにアダルトコンテンツがある場合は警告されなければならない。 アダルトな内容の場合は、「SEXUALLY EXPLICIT」と表示しなければならない。
  • 送信者は、複数のメールアドレスからメールを送信すること。 送信者は、同じ受信者に異なるメールアドレスからスパムメッセージを送信してはいけません。
  • 電子メールにはマルウェアが含まれていてはならない。

企業が現在の顧客やビジネスリード(製品/サービスについて問い合わせた人)に対して、フォローアップ、フィードバック、提案、その他のコミュニケーションを目的にメールを送信する場合、このようなメッセージもスパムとはみなされません。 これらのメッセージは、CAN-SPAMの下ではリレーションシップ・メッセージに分類されます。 政治的、宗教的なメールも、CAN-SPAMのSMAPの定義から除外されます。

スパムのメールは、本質的に有害ではありません。 ただ、不要なものであり、受信箱の中で不必要なスペースを占めているだけなのです。 ハッカーは、受信者のメールクライアントに侵入し、マルウェアやフィッシングメールを拡散させるために、これを利用することができます。 たとえば、IBMのX-Force Threat Intelligence Index 2020レポートによると、CVEs 2017-0199および2017-11882というセキュリティ脆弱性は、「ハッカーがスパム キャンペーンを介して悪用しようとした脆弱性の90%近く」を占めています。

スパムは数字が全てです。 十分な数の人にスパム メッセージをぶつければ、最小限の成功率でも長い目で見れば報われます。

ほとんどのメール クライアントがスパム メールを自動的に検出し、スパム/迷惑メール フォルダーに捨てます。 このようなメールでは、すべての添付ファイルや画像もブロックされます。 しかし、もしまだ受信トレイに不要なスパムメールが届いているようなら、配信を停止することができます。 (ただし、最初に登録解除のリンクを確認し、フィッシングや悪意のあるリンクでないことを確認してください)。 また、受信トレイにあるメールを右クリックして、迷惑メールフォルダーに移動させることもできます。 また、送信者をブロックすることもできます。

典型的なスパム メールの例を示します。

Spam vs Phishing スクリーンショット例

これはロゴ デザイン ウェブサイトから届いたスパム メールの例です。 件名に書かれている内容とメールの内容が一致しています。 また、このメールには配信停止タブと会社の物理的な住所があることがわかります。 つまり、SPAM-CANのガイドラインに沿ったスパムメールだということです。

メールの文脈におけるフィッシングとは?

詐欺師は、受信者が信頼する企業や人物を装ってフィッシングメールを送信します。 これらの電子メールは、本質的に人を欺くものです。 フィッシングメールは、銀行、eコマースサイト、大学、政府、雇用主、親族、同僚から来たように見せかけるように作られています。 Verizon の 2020 Data Breach Investigations Report (DBIR) によると、フィッシング攻撃の 96% は電子メールで発生しています。

これらの電子メールには、マルウェアを含む添付ファイル、悪意のあるリンク、スパム Web サイトへのリダイレクトが含まれている可能性があります。 また、攻撃者は、受信者の感情的な反応を引き起こし、機密情報などを共有しようとすることもあります。

  • クレジットカード番号、
  • 電話番号、
  • 住所、
  • 社会保障番号(SSN)、
  • 税金関連情報、
  • 健康情報フィッシング・メールの一般的な動機は以下のとおりです。
    • 金融詐欺、
    • 個人情報の盗難、
    • ログイン認証の盗難、
    • マルウェア(ワーム、ウイルス、トロイの木馬、ルートキット、アドウェアなど)の蔓延、などです。
    • 受信者を悪意のある Web サイトにリダイレクトする。

    以下は、典型的なフィッシングメールの例です。 このメールはPayPalから来たように見えますが、送信者のメールアドレスを注意深く確認すると、詐欺師からのメールであることがわかるでしょうし、良さそうに見えるPDFの添付ファイルに危険なマルウェアが含まれている可能性もあります。

    Spam vs Phishing フィッシングメールのグラフィック例
    SpaSpam

    米国の多くの州では、フィッシングに対して異なる法律が存在します。 フィッシングを直接的に犯罪とする連邦法はありませんが、連邦刑法はフィッシングによって行われる金融詐欺や個人情報の盗難犯罪に適用されます。

    フィッシングメールの被害者になった場合は、www.ic3.gov、ftc.gov/complaint または [email protected] へ苦情を登録することが可能です。

    スパムとフィッシングメールの違い

    スパムとフィッシングの違いをよりよく理解していただくために、表で並べてみると便利かと思います。

    スパム フィッシング
    目的 製品やサービスの宣伝やマーケティング 受信者をだますこと
    Nature 通常は良性だが、時に悪意を持つこともある迷惑な商用メール 合法的な団体から来たように見えるが、本質的には悪意を持って設計されている誤解を招くメッセージ
    製品/サービスの広告、クーポンコード、取引、割引、問い合わせまたは調査フォーム マルウェアが組み込まれた添付ファイル、感染リンク、スパムサイトへのリダイレクト、受信者に個人情報/金融情報を共有させる偽装メッセージ
    法律 The U. S. S.A.S.A.T.T.T.T.T..T.T.T.T.T..T.T.。S. Non-Solicited Pornography and Marketing Act of 2003 その他の国々についてはこちら。 アンチスパム法 各種州法、米国連邦刑法

    Spam vs Phishing: Voice Messages and Phone Calls

    犯人は電話を使用してターゲットをスパムやフィッシングに利用する。

    Spam Calls

    マーケティング目的の未承諾電話、特にこれまで取引したことのない会社から電話を受けた場合、それはスパムコールに分類される可能性があります。 マーケティングコールとスパムコールの定義はあいまいです。

    たとえば、これまで取引したことのないカード会社から突然クレジットカードの申し込みの電話がかかってきた場合、スパムコールとみなされます。 しかし、すでに口座を持っている銀行から新しいカードや保険の売り込みの電話があれば、それは単なる追加商品を売るためのマーケティング電話とみなされる。 米国では、電話消費者保護法(TCPA)と連邦通信委員会(FCC)がスパム電話や電話勧誘メッセージに制限を設けています。

    ボイスフィッシング(ビッシング)

    犯人があなたをだます目的で他人になりすました電話をかけることを、ボイスフィッシングまたはビッシングとして知られています。 たとえば、詐欺師が銀行の支店長を装って電話をかけ、新しいクレジットカードを送るために社会保障番号の下4桁とその他の個人情報を提供するよう求めます。

    時には、攻撃者は漏れたデータベースを使用したり、ソーシャルエンジニアリングのスキルを利用して、電話をかける前に被害者となりうる人物について少し調査することがあります。 たとえば、学生ローンを扱う銀行の行員や、奨学金の申請に関する詳細情報を求める州/連邦政府の学生支援部門の担当者になりすまし、大学生に電話をかけるのです。

    Spam vs Phishing: Text Messaging

    最近、信じられないほど低コストで大量のテキストメッセージを送信できるWebサイトやツールがあります。 そのため、スパムやフィッシング詐欺師も、テキスト メッセージでメッセージを送るのが大好きです! 5651>

    Spam Text Messages

    When companies send unsolicited bulk text messages for commercial, non-malicious purposes, they’re known as spam text messages or spam SMS messages.これは、企業が商業的、非悪意の目的のために迷惑なバルクテキストメッセージを送信するとき、彼らはスパムテキストメッセージまたはスパムSMSメッセージとして知られています。 これらのメッセージには、製品情報、特別な取引/割引の詳細、オファー、スキーム、クーポン コードなどが含まれている場合があります。 また、製品/サービスの Web サイトへのリンクがある場合もあります。

    一部のスパム SMS テキストは、潜在顧客に関する詳細情報を得るための調査として送信されます。 このようなテキストメッセージの目的は、製品やサービスの販売、ブランディング、受信者の詳細な情報(人口統計、購買習慣、購買力、好き嫌いなど)を収集することなどがあります。

    SMS フィッシング(スミッシング)

    ここで、詐欺師は正当な組織になりすまし、テキストメッセージを送信します。 このようなフィッシングSMSメッセージの性質や目的は、フィッシングEメールと同じで、受信者を詐取することです。

    • 個人情報や財務情報を共有する、
    • 金融取引を完了する、
    • マルウェア付きの添付ファイルをダウンロードする、
    • SMSテキスト内のリンクをクリックすると悪質なWebサイトへ誘導する、などの方法でユーザーをだましたり操作しようとしたりするのです。

    スパム vs フィッシングのまとめ

    スパム vs フィッシングの話題、もっと言えばスパムとフィッシングの違いは、混乱しやすいかもしれませんね。 しかし、もうこのあたりで、スパムが迷惑でありながら良性のメッセージであること、一方、フィッシングはサイバー犯罪を助長するものであることをご理解いただけたと思います。 しかし、スパマーがCAN-SPAM(またはSPAMに関連するあなたの国の法律)のガイドラインのいくつかに違反した場合、フィッシングとスパムの間の境界線は曖昧になるのです。 たとえば、メールの内容や送信者の電子メールアドレスが偽装されていたり、メールやテキストメッセージにマルウェア(または悪意のある Web サイトへのリンク)が含まれていたりします。

    スパムは、時には電話番号や電子メールアドレスを変更したくなるほど迷惑な場合もあります。 一方、フィッシングは、あなたをサイバー犯罪の被害者に導く可能性があります。 そこで、フィッシング詐欺とそれをうまく見分ける方法について、自分自身と従業員をさらに教育してください。

    Manage Certificates Like a Pro

    14 certificate management best practices to keep your organization run.証明書管理を成功させるためのベストプラクティス。 セキュアで完全なコンプライアンスを実現します。

    InfoSec Insights で収集した連絡先情報は、要求された情報、ブログ更新通知、マーケティング目的で使用する場合があります。 詳細はこちら…

    • #フィッシング
    • #スパム
    • #spam vs phishing

Articles

コメントを残す

メールアドレスが公開されることはありません。