Mimecastは2023年1月9日(米国時間)、「Vishing vs. Phishing vs. Smishing: All You Need to Know|Mimecast」において、フィッシング、スミッシング、ビッシングの違いについて伝えた。すべて異なるサイバー攻撃手法とされているが、個人情報を窃取することが最終目的であることに違いはないと説明されている。

  • Vishing vs. Phishing vs. Smishing: All You Need to Know|Mimecast

    Vishing vs. Phishing vs. Smishing: All You Need to Know|Mimecast

フィッシングは、サイバー攻撃者が個人データや財務情報を不正に入手するために用いる一般的な攻撃手法とされている。標的に不正なメールを送り悪質なリンクをクリックさせて機密データを漏えいさせることが典型的な手口。なりすましたメールアドレスから送信したり、リンク先の偽のWebサイトでだまそうとするなど、さまざまなやり方で重要な個人情報を引き出そうとする。

スミッシングはフィッシングの一種で、ショートメッセージサービス(SMS: Short Message Service)を使った詐欺とされている。メールを悪用したフィッシングと似ており、標的にショートメッセージサービスを送信し、ウイルスやマルウェアといった有害なソフトウェアをインストールさせるために悪意のあるリンクをクリックするよう誘導することが一般的な手口とされている。

ビッシングはボイスとフィッシングを掛け合わせた造語。詐欺の実行が音声通話であることがその名の由来とされており、標的に直に電話をかけて人を欺く。多くの場合、攻撃者は被害者のある程度の個人情報を収集済みで、それらの情報を巧みに悪用して相手を信頼させ、最終的にワンタイムパスワード(OTP: One Time Password)や二要素認証(2FA: Two-Factor Authentication)コードを聞き出す攻撃手法とされている。

これらのサイバー攻撃の被害に遭わないよう、セキュリティの原則も紹介されている。例えば、社外からのメールやメッセージで送信元が確認できないソースからのリンクは決してクリックしないこと、銀行や警察など信頼できる機関を名乗る相手であっても個人情報を教えないこと、身に覚えのない番号やメールには対応しないことなどが挙げられている。

こうしたセキュリティ原則を継続的に遵守するとともに正当なメール、ショートメッセージサービス、電話番号を受け取ったとしても用心深く対応することが身を守る手段として重要とされている。