フィッシング とは？

フィッシングはデータ侵害で最も一般的な初期攻撃ベクターであり続けています。基本的なフィッシングキャンペーンは一般的なメッセージで広く網を張りますが、スピアフィッシングは個人または組織の詳細を使って信頼性を高め、特定の個人を標的にします。クレデンシャルフィッシングは、正規のログインページの説得力のある複製に被害者を誘導することでユーザー名とパスワードを収集することを特に目的としています。

フィッシングの有効性は、技術的な脆弱性ではなく人間の心理を悪用することから生じます。攻撃者は合理的な評価をバイパスするために、緊急性（「アカウントがロックされます」）、権威（「CEOからのメッセージ」）、または好奇心（「添付の請求書を確認してください」）を作り出します。セキュリティ意識の高いユーザーでも、特に侵害されたメールアカウントや本物に似たドメインと組み合わさった場合、巧妙なキャンペーンに引っかかる可能性があります。

防御は多層的です。メールフィルタリングとリンクスキャンが大量キャンペーンを検出し、多要素認証が盗まれたクレデンシャルによる被害を制限し、セキュリティ意識向上トレーニングが疑わしいメッセージを識別するのに役立ちます。機密データの共有では、メールに秘密を貼り付ける代わりに一時的な自己消滅リンクを使用することで通信チャネルから永続的なクレデンシャルを排除し、侵害された受信トレイから攻撃者が収集できるものを大幅に減らします。

Vaulted における フィッシング の使われ方

Vaultedは機密データをメールやチャットメッセージから完全に排除することでフィッシングリスクを低減します。侵害された受信トレイから収集される可能性のあるメッセージにパスワードやAPIキーを貼り付ける代わりに、ユーザーは設定された閲覧回数後に自己消滅するVaultedリンクを共有します。フィッシング攻撃者が誰かのメールにアクセスしても、期限切れのVaultedリンクは何も提供しません。シークレットはすでにサーバーから消えています。オプションのパスフレーズ保護と組み合わせることで、傍受されたリンクだけでは共有されたシークレットにアクセスするのに十分でないことが保証されます。