WordPress フィッシング攻撃とは何ですか?
公開: 2023-06-21フィッシング攻撃は、ハッカーの武器庫の主要な武器として時の試練に耐え、進化し続けるサイバー攻撃の領域において常に脅威であり続けています。 長年にわたり、ハッカーはソーシャル エンジニアリングという欺瞞的な技術に依存して、人間の脆弱性を悪用し、機密情報を取得してきました。
WordPress フィッシングは、その始まりはささやかなものから、今日の高度に標的を絞った洗練された攻撃に至るまで、企業と個人の両方に被害を与え続けています。 さらに、WordPress フィッシングの秘密の性質により、攻撃をタイムリーに特定して軽減することがますます困難になっています。 正規の Web ページを装った WordPress フィッシングは、Web サイトの所有者や最も強力なマルウェア スキャナーからも疑いを持たれることなく、気づかれないように動作するように設計されています。
この WordPress フィッシング攻撃ガイドでは、WordPress フィッシングの内部構造を掘り下げ、ハッカーが疑いを持たないユーザーやビジネスオーナーを欺くために使用する一般的なテクニックを探ります。 私たちは、フィッシング攻撃を迅速に軽減し、攻撃者の狡猾な計画の一歩先を行き、WordPress セキュリティに対するこの恐るべき脅威に対する防御を強化するために必要な知識を提供します。
フィッシング攻撃は主要なソーシャル エンジニアリング攻撃ベクトルです
フィッシングとは、サイバー犯罪者が機密情報を取得するために使用するいくつかのソーシャル エンジニアリング手法を指す広義の用語です。 「フィッシング」という言葉に由来するこのソーシャル エンジニアリング攻撃ベクトルは、おとりを使って被害者を騙し、ユーザー名やパスワードなどの個人を特定できる詳細を提供させることに重点を置いています。 ウェブページの形で注意深く作られたおとりは、多くの場合電子メールで配信され、疑うことを知らない人をだまして罠に誘い込むだけで十分です。
フィッシング攻撃は、緊迫感を誘発するように設計されており、要求の正当性を確認することなく、被害者を操作して即座に行動を起こさせます。 サイバー犯罪者は、標的となった個人に衝動的な反応を引き起こし、被害者の合理的思考を歪め、緊急の状況で迅速に反応する自然な傾向を利用しようとします。 攻撃者の主な目的は、被害者が十分に認識していないにもかかわらず、個人情報を自発的に漏洩したり、その他の有害な行為を実行したりするような状況を作り出すことです。
深刻なセキュリティ上の脅威や限定的な特典など、一刻を争う状況は、フィッシング攻撃の絶好の基盤となります。 たとえば、ユーザーは、アカウントのパスワードが漏洩したため、アカウントのパスワードをリセットするよう求める電子メールを受信する可能性があります。 この電子メールは信頼できる送信元から送信されたもののように見え、被害者が実際に使用している正規のサービスのログイン ページと同一の Web ページへのリンクが含まれています。 個人は、入力したログイン詳細が攻撃者に直接送信されることをほとんど知りません。
実行が簡単で成功率が高いため、フィッシングは依然として主要なソーシャル エンジニアリング攻撃ベクトルであり、資格情報収集に使用される最も一般的な手法の 1 つです。
フィッシング詐欺師が求める情報
フィッシング詐欺師は、個人になりすましたり、個人情報の盗難を行うのに役立つ、あらゆる種類のユーザーを特定できる機密情報を狙っています。 フィッシング攻撃は、機密データを利用したさまざまな形の悪意のある悪用への単なるゲートウェイです。 フィッシング攻撃が取得することを目的とする最も一般的な種類の情報には次のようなものがあります。
- ユーザーの資格情報。 ユーザー名やパスワードなどのアカウント資格情報は、フィッシング攻撃の主なターゲットです。
- クレジットカードの詳細。 金銭的利益を追求するために、ハッカーはクレジット カード情報を盗み、その後カード攻撃を通じて収集したデータを検証することがあります。
- 個人を特定できる情報。 これには、社会保障番号、住所、電話番号などの詳細が含まれます。
- 財務情報。 銀行口座番号とオンライン バンキングの認証情報を収集すると、サイバー犯罪者が不正取引を行うことが可能になります。
ご覧のとおり、フィッシングはハッカーのツールキットの中でも非常に汎用性の高いツールです。 ソーシャル エンジニアリング技術を使用すると、サイバー犯罪者は高度な計画を必要とせずに機密情報を簡単に入手できます。
作成から配布まで: フィッシング攻撃の実行を理解する
フィッシング攻撃の実行には、通常、欺瞞的なフィッシング ページの作成と、潜在的な被害者への配布という 2 つの段階が含まれます。 第 1 段階では、サイバー犯罪者は攻撃のターゲットを選択し、信頼できるフィッシング シナリオの作成に努めます。 第 2 段階では、ソーシャル エンジニアリングの試みを正当かつ魅力的に見えるように調整することで、被害者に餌を届け、攻撃が成功する可能性を最大化する最適な方法を見つけることに専念します。
犠牲者の選択
攻撃者は、取得できる情報の潜在的価値や被害者を騙すことに成功する可能性など、さまざまな要素に基づいてフィッシング攻撃のターゲットを選択します。 フィッシング攻撃における意思決定に影響を与える重要な要素の 1 つは、攻撃者が最終目標を達成しようとするアクセスのレベルです。
攻撃方法の選択
サイバー犯罪者の動機は、個々のユーザーのアカウントにアクセスして詐欺を行うことから、対象のサービスの制御を掌握してシステム全体を侵害することを可能にする管理者特権の取得に至るまで、さまざまです。 必要なアクセスの範囲によって戦略が決まり、フィッシング攻撃で使用される具体的な戦術が決まります。 攻撃者の目的に基づいて、3 つの主なフィッシング攻撃は、集団フィッシング、スピア フィッシング、捕鯨です。
- 大量フィッシング。 大規模フィッシング攻撃は、有名な組織またはサービスの多数のユーザーを標的とする大規模なキャンペーンです。 攻撃者は、できるだけ多くの被害者を騙そうと、少なくとも一部のユーザーが詐欺に引っかかり、アカウント認証情報やその他の個人情報を漏らすことを期待して、広範囲に網を張ります。
- スピアフィッシング。 スピア フィッシング攻撃は、攻撃者がターゲットとして特定の個人または組織を慎重に選択するため、より標的を絞ってカスタマイズされています。 サイバー犯罪者は広範囲にわたる調査を行って被害者に関する情報を収集し、その知識を利用して高度にパーソナライズされたアプローチを開発します。
- 捕鯨。 捕鯨はスピア フィッシングの増幅版であり、組織的に重要なアクセス権と権限を持つ著名な個人をターゲットにします。 捕鯨フィッシング攻撃は、多くの場合、被害者をだまして企業の機密情報を開示させたり、不正取引を許可したりすることを目的としています。
攻撃者は被害者を選択すると、オンライン バンキング ポータル、ソーシャル メディア プラットフォーム、クラウド ストレージ、電子メール プロバイダーなど、標的となる Web サイトやサービスのログイン ページによく似た Web ページを作成します。 このような詐欺的な Web ページは、正規の Web サイトまたはオンライン サービスの外観と機能を複製して、ユーザーをだまして信頼できるリソースと対話していると信じ込ませるように設計されています。 サイバー犯罪者は、静的な Web ページを作成し、正規のリソースからコピーしたスタイルシート、画像、その他の視覚要素を含めることで、フィッシング ページと区別できないように見せかけます。
フィッシング攻撃の分布
注意深く作成されたフィッシング ページを作成したら、それを攻撃の被害者に配布する必要があります。 不正なページは、攻撃者が制御する Web リソース(侵害された Web サイト、またはこの目的のために特別に設定された Web サイト) にアップロードされます。 その後、詐欺的なコンテンツは、電子メールやメッセージング プラットフォームなどのさまざまなチャネルを通じて拡散されます。
ドメインスプーフィング
サイバー犯罪者は、フィッシング ページをより説得力のあるものにするために、正規のサービスのドメイン名に似たドメイン名を登録することがよくあります。これは一般にドメイン名スプーフィングとして知られる悪意のある手法です。 ドメイン スプーフィングを利用すると、多くの場合、フィッシング攻撃の成功率が高まり、詐欺的な Web ページがより魅力的で信頼できるものに見えます。
ドメイン スプーフィングは効果的ですが、ハッカーが通常避けたい追加コストが発生します。 ハッキングされた Web サイトを使用してフィッシング キャンペーンをホストしたり、無料のドメイン名を取得したり、無料トライアルを提供するホスティング プラットフォームを利用したりする方がコストが安くなり、攻撃者が身元を隠すのに役立ちます。
メール詐欺
フィッシング キャンペーンを配布する最も一般的に使用される方法の 1 つは電子メールです。 最も人気のある通信チャネルの 1 つとして、電子メールには広範なカスタマイズ オプションが用意されており、攻撃者がフィッシングメールの外観を操作して、視覚的に説得力のあるリクエストを作成できるようになります。 さらに、電子メール アカウントは公的ソースから比較的簡単に取得できるため、プライベート データベースをハッキングする必要がなくなります。
WordPress フィッシングとは何ですか?
WordPress フィッシングには、WordPress サイトをフィッシング攻撃のホストまたは配布チャネルとして利用したり、WordPress Web サイトの所有者を主な被害者としてターゲットにしたりすることが含まれます。
WordPress フィッシング攻撃は非常に汎用性が高いため、さまざまな悪意のある目的を達成するための効果的なツールとして機能します。 攻撃者はソーシャル エンジニアリング技術を利用して顧客をだまし、WordPress 管理者の資格情報を取得し、Web サイトを制御し、さらなる攻撃を促進するためのプラットフォームとして使用することができます。
WordPress フィッシング攻撃の 3 つの主なタイプとそれらに対する防御方法
WordPress フィッシングには、さまざまなタイミングで WordPress Web サイトに影響を与える可能性のある 3 つの主要なタイプの攻撃が含まれます。 ハッカーがどのように WordPress Web サイトを悪用し、あなたやあなたの顧客に対してソーシャル エンジニアリングを使用するかを調べてみましょう。
ビジネスオーナーであるあなたを狙った WordPress フィッシング攻撃
ハッカーは多くの場合、フィッシング攻撃を使用して WordPress Web サイトに不正アクセスします。 ソーシャル エンジニアリング技術を使用すると、Web サイトを制御するために WordPress の脆弱性を特定して悪用する必要がなくなります。 代わりに、攻撃者はあなたを操作して WordPress 管理者の資格情報を提供させたり、Web サイトや個人のデバイスを悪意のある悪用にさらす別の有害なアクションを実行しようとします。
偽のアップグレード通知とセキュリティ警告
ハッカーが使用する最も有名な手法の 1 つは、偽の WordPress 更新警告またはセキュリティ通知を使用し、Web サイト所有者にセキュリティ リスクを軽減するために迅速な行動を促すことです。 慎重に作成された警告は WordPress ユーザーのメールボックスに配信され、WordPress から送信されたかのような印象を与えます。
このタイプの WordPress フィッシング攻撃では、ハッカーは多くの場合、電子メール スプーフィング手法を使用して、メッセージの発信元の電子メール アドレスを操作し、URL 内に WordPress サイトのドメイン名を含む一見正当なリンクを組み込みます。 Web サイトの所有者は、リンクをクリックして更新プログラムをインストールするか、脆弱性に対処することが期待されています。 実際には、セッション ハイジャックを伴う綿密に設計されたクロスサイト リクエスト フォージェリを通じて、攻撃者に Web サイトへのアクセスを許可します。 これらの WordPress フィッシングメールの非常に信頼性の高さと、それが引き起こす壊滅的な結果により、このタイプの WordPress フィッシング攻撃は最も危険なものとなります。
WordPress がソフトウェアの更新を要求することはありません
デフォルトでは、WordPress は保留中のコア、プラグイン、またはテーマの更新やパッチが適用されていない脆弱性に関する通知を送信しませんが、それでも WordPress サイトからいくつかの警告メッセージを受信します。 各メールを注意深く調べ、送信者のアドレスと添付されたリンクに特に注意してください。 すべての通知は Web サイトの WordPress 管理領域内に表示されるため、そこにログインして更新を手動で確認するか、ソフトウェアの自動更新と脆弱性パッチ適用を設定することをお勧めします。
iThemes Security Pro は、WordPress コア、プラグイン、テーマの更新を処理します。 高度な脆弱性スキャンは、古いソフトウェアによって引き起こされる WordPress Web サイトのセキュリティ上の欠陥を自動的に特定して対処し、注意が必要な場合は通知します。 パスキーに基づく 2 要素認証またはパスワードレス認証を強力なセッション ハイジャック保護と組み合わせることで、たとえ正しい資格情報を持っていたとしても、攻撃者が WordPress Web サイトを制御する可能性が排除されます。
顧客を狙った WordPress フィッシング攻撃
WordPress フィッシング攻撃は、あなたの Web サイトとビジネスオーナーであるあなただけでなく、Web サイトの訪問者や顧客、そしてそのユーザー アカウントも脅かします。 ハッカーは、Web サイトのデータベースから機密の顧客情報を盗む代わりに、Web サイトの正規のログイン ページを模倣した偽の Web ページに顧客をだましてユーザー資格情報と個人情報を入力させようとする場合があります。 さらに、攻撃者はフィッシングの試みを、セールのお知らせ、個人限定の割引、その他のさまざまな形式の個人向けコミュニケーションとして偽装する可能性があります。
顧客に対する進行中のフィッシング攻撃を検出することはほとんど不可能であり、顧客は潜在的な脅威に対して脆弱なままになります。 さらに、ソーシャル エンジニアリングの試みから個人情報を保護する主な責任は顧客自身にあります。
顧客のデータを WordPress フィッシング攻撃から保護する最善の方法は、ユーザー アカウントに強力なパスワード ルールと多要素認証を適用することです。 有効な SSL/TLS 証明書を常に維持することで、WordPress Web サイトとの間で送受信されるデータのセキュリティを確保します。 信頼できる認証局によって署名された SSL/TLS 証明書をインストールすると、Web サイトとその訪問者の間に安全な通信チャネルが作成され、ログイン資格情報や財務データなどの機密情報が暗号化されます。
さらに、顧客が意図したアクションに必要な権限のみを持つように、WordPress Web サイトへの顧客のアクセス レベルを厳密に制限する必要があります。 これは、アカウントレベルの侵害によって生じる可能性のある潜在的な損害を制限するための鍵となります。
フィッシング攻撃をホスティングおよび配布するためのプラットフォームとしての WordPress サイト
WordPress Web サイトは、WordPress フィッシング攻撃におけるフィッシングキャンペーンの経路として最も一般的に使用され、詐欺的な Web ページをホストしたり、電子メールによる配布を容易にしたりするためのサーバー リソースを提供します。 あなたの WordPress Web サイトは、詐欺行為とは本質的に関係なく、フィッシング攻撃を実行するためのプラットフォームとして利用されているだけです。
WordPress Web サイトが侵害された場合、フィッシング キャンペーンのホストとして使用される可能性があります。 これはあなたの評判を傷つけ、あなたの WordPress ウェブサイトが Google ブラックリストに掲載され、その後欺瞞的なフラグが立てられることによるトラフィックの減少によって生じる重大な経済的損失につながる可能性があります。
ハッキングされた WordPress Web サイトは、フィッシングだけでなく、さまざまな種類のサイバー攻撃を強化するために広く使用されています。 マルウェアの配布、ブルート フォース攻撃、およびサービス妨害は、侵害された Web サイトとサーバーからなる大規模なネットワークを利用して、高度に分散された方法で頻繁に実行されます。 ボットネットとして知られる、このような侵害されたエンドポイントのネットワークは、サイバー攻撃の規模と影響を増幅させ、ハッカーの武器の強力な武器となります。
ウェブサイトのセキュリティは重要です。 フィッシングやマルウェアをホスティングおよび配布するためのプラットフォームとして使用されないように WordPress Web サイトを保護するには、Web サイト保護に対して多面的なアプローチを採用する必要があります。 強力な多層防御戦略を実装して WordPress Web サイトのセキュリティを強化することは、Web サイトレベルの侵害とその後のデータ侵害を効果的に防ぐために重要です。 複数の層のセキュリティ メカニズムと制御を組み込むことで、Web サイトが悪用されないように保護する障壁として機能する堅牢な防御システムを作成できます。
目に見えないところに隠された: マルウェア スキャナーがフィッシングを特定できない理由
フィッシング攻撃はその秘密の性質により、WordPress Web サイトの所有者にとって重大な脅威となります。 WordPress フィッシング攻撃が Web サイトにアップロードされると、詐欺的な Web ページを特定して削除することが困難になる可能性があります。 WordPress フィッシング攻撃は、ステルスになるように設計されています。 正規の Web ページを模倣し、同じ視覚要素とレイアウトを利用するフィッシング ページは、複数のディレクトリに分散されたり、一見無害なファイル内に隠されたりすることがあります。 そのため、経験豊富な WordPress ユーザーであっても、検出は複雑で時間のかかるプロセスになります。
Web サイトの侵害やマルウェア感染に対処する場合、Web サイトの所有者は、WordPress Web サイトをクリーニングするための貴重なツールとしてマルウェア スキャナーに頼ることがよくあります。 また、最新のマルウェア スキャナーは、難読化されたコード、コード インジェクション、悪意のあるリダイレクトの特定には不可欠であることが証明されていますが、フィッシング攻撃の検出となると不十分なことがよくあります。 これは、通常、フィッシング ページには従来の形式の悪意のあるコードが含まれておらず、マルウェア スキャナーにはそのような詐欺的なページを Web サイトの正規のコンテンツから区別する機能がないためです。
ウェブサイトから WordPress フィッシングを削除するにはどうすればよいですか? 3 つの主なステップ
マルウェア スキャナーに頼って WordPress フィッシング攻撃を特定できないため、Web サイトから不正な Web ページを削除するのは骨の折れる、主に手動のプロセスになります。 Web サイトのファイルを手動で確認し、すべてのスクリプトを正確かつ慎重に調べる必要があります。 以下の 3 ステップのプロセスに従って、WordPress サイトからのフィッシング攻撃の検出と削除を効率化し、迅速に行います。
WordPress と Web サイトのコンポーネントを管理するために必要なツールについて十分に理解する必要があることに注意してください。 WordPress ファイルとデータベース テーブルの操作は、特に Web サイトを手動でフィッシングやマルウェアをスキャンする場合に困難になることがあります。 iThemes トレーニングは、WordPress サイトを効果的に管理するために不可欠な知識とスキルを身につけるように設計されています。
ステップ 1. WordPress Web サイトのドキュメントルートを調べて、疑わしい名前のディレクトリがないか確認する
WordPress フィッシング攻撃は、Web サイトのドキュメント ルート内の別のフォルダーで最もよく発生します。 フィッシング ページは、.zip または同様の形式のファイル アーカイブの形式で WordPress Web サイトにアップロードされることがよくあります。 アップロード後、圧縮ファイルは、HTML または PHP ページ、CSS スタイルシート、画像などの複数のコンポーネントを含む専用ディレクトリに抽出されます。
不正なコンテンツを隔離されたディレクトリに整理すると、攻撃者はそのコンテンツを WordPress Web サイトで通常見られるコンテンツから分離することができます。 驚くべきことに、ハッカーは WordPress フィッシング攻撃専用のフォルダーを作成するとき、悪意のあるバックドアの場合によくあることですが、それを隠蔽しようとはしません。 このようなディレクトリには、フィッシング ページが偽装しようとしている正規のサービスによく似た名前が付いていることがよくあります。
フィッシング攻撃が WordPress サイトにアップロードされた疑いがある場合は、Web サイトのルート ディレクトリにあるファイルとフォルダーを確認してください。 アーカイブ ファイルの存在は、多くの場合、認識していないディレクトリの悪意のある性質を示しています。
ステップ 2. wp-content
ディレクトリの内容と個々のプラグインとテーマのフォルダーを確認する
WordPress フィッシング攻撃を Web サイトのドキュメント ルートの専用ディレクトリに配置するのが一般的ですが、攻撃者は詐欺的な Web ページの存在を隠蔽するために、より洗練された方法を使用することがよくあります。 WordPress コンテンツ ディレクトリとその中の特定のテーマおよびプラグイン フォルダーは、WordPress フィッシング攻撃の優れた隠れ場所として機能します。
WordPress Web サイトのwp-content
ディレクトリ内の個々のプラグインとテーマのフォルダーを徹底的に調べます。 WordPress コアや元のプラグインやテーマ パッケージの一部ではないと思われる不審なファイルを探します (特に、ファイルに珍しい名前や拡張子が付いている場合)。 PHP スクリプトと HTML ファイルに細心の注意を払い、WordPress フィッシング攻撃の存在を示す可能性のある不一致に注意してください。
ステップ 3. WordPress ウェブサイトをスキャンして悪意のあるリダイレクトがないか確認する
ハッカーは、WordPress フィッシングを Web サイトにアップロードし、詐欺的な Web ページをホストするプラットフォームとして使用するだけでなく、悪意のあるリダイレクトを正規のファイルに組み込んで、Web サイトの訪問者を知らないうちに、または同意なしに悪意のあるコンテンツに誘導する可能性があります。
悪意のあるリダイレクトを特定して削除するには、WordPress Web サイトのファイルとデータベース データを徹底的に調べる必要があります。 まず、WordPress インストール内のファイル (.htaccess やドキュメント ルート フォルダー内のメインの Index.php ファイルなど) を確認します。 リダイレクトを開始したり、Web サイトの特定の要素の動作を変更したりする可能性のある不審なコードを探します。
さらに、WordPress データベースを検査して、悪意のあるリダイレクトを促進する可能性のあるコードがないか調べてください。 「wp_options」テーブルは、Web サイト訪問者をフィッシング キャンペーンにリダイレクトしようとする攻撃者の一般的なターゲットであるため、細心の注意を払ってください。 wp-options
テーブル内で、見慣れないドメイン名や、認識できないリダイレクト ルールが組み込まれている不審なエントリを探します。
iThemes Security Pro で WordPress フィッシングからサイトを保護
WordPress フィッシング攻撃は依然として手強いセキュリティ脅威であり、ビジネスオーナーとその顧客に重大な影響を与える可能性があります。 WordPress フィッシングの秘密の性質により、攻撃者がますます高度なテクニックを使用してソーシャル エンジニアリングの試みを正当なリクエストとして偽装し、緊迫感を引き起こすため、認識することが困難になっています。 攻撃者は、説得力のあるメッセージを作成し、信頼できるように見え、正規のサービスの外観によく似た詐欺的な Web ページを作成します。 これらすべてが、サイバー犯罪者が疑いを持たない被害者を操作して機密情報を漏らすのに役立ちます。
すべての Web サイト所有者の主な責任の 1 つは、Web サイトに悪意のあるコンテンツやフィッシング攻撃がない状態を維持し、安全なユーザー エクスペリエンスを提供することです。 Web サイトのセキュリティに積極的にアプローチすることは、WordPress Web サイトとその訪問者をデータ侵害やマルウェア感染の壊滅的な結果から守るために非常に重要です。
iThemes Security Pro と BackupBuddy は、WordPress Web サイトがフィッシング攻撃の開始やマルウェアの配布の温床として悪用されないように設計された包括的なセキュリティ スイートを提供します。 高度な脆弱性スキャン、多要素認証、ファイル整合性監視、および柔軟なバックアップを備えたプラグインは、WordPress Web サイトのセキュリティに対するプロアクティブなアプローチを保証し、容赦ないサイバー攻撃の一歩先を行くことができます。
WordPress を保護して保護するための最高の WordPress セキュリティ プラグイン
WordPress は現在、すべての Web サイトの 40% 以上で使用されているため、悪意のあるハッカーの格好の標的となっています。 iThemes Security Pro プラグインは、WordPress セキュリティから推測に頼る作業を排除し、WordPress Web サイトの安全性と保護を簡単にします。 これは、WordPress サイトを常に監視し、保護してくれる常勤のセキュリティ専門家をスタッフに抱えているようなものです。
Kiki は情報システム管理の学士号を取得しており、Linux と WordPress で 2 年以上の経験があります。 彼女は現在、Liquid Web および Nexcess のセキュリティ スペシャリストとして働いています。 その前は、Kiki は Liquid Web マネージド ホスティング サポート チームの一員として数百の WordPress Web サイト所有者を支援し、彼らがよく遭遇する技術的な問題について学びました。 書くことへの情熱により、彼女は自分の知識と経験を共有して人々を助けることができます。 テクノロジー以外では、キキは宇宙について学ぶことと、実際の犯罪のポッドキャストを聞くことを楽しんでいます。