サイバー脅威アクターが個人や組織を攻撃するために、必要なアクセス権限を入手する手段となり得るフィッシング詐欺。本記事ではさまざまなタイプのフィッシング攻撃を取り上げるほか、これらを特定し、リスクを緩和する上での脅威インテリジェンスの役割についてご説明します。
*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事を翻訳したものです。
フィッシングの脅威
組織の資産やインフラ、人材を守るため、脅威アクターが用いる具体的な攻撃手法をセキュリティチームが認識しておくことは非常に重要です。その1つであるフィッシングとは、公的機関や民間組織など、多様なターゲットに対して広く使われている攻撃手法を指します。
実際には、ほとんどの事例でフィッシングに続いてさらなる攻撃が行われています。フィッシングによって、悪意を持ったアクターは組織のシステムやネットワークに侵入できるようになり、ラテラルムーブメント(水平移動)や機密データの取得を可能にするアクセスポイントを得ることができます。
組織をフィッシング攻撃から守るためには、チームと個人の双方向から対策に取り組む必要があります。本ブログでは以下の項目に触れながら、アセットやインフラを安全に保つための最善の方法をご説明します。
- フィッシングとは何か、フィッシング攻撃にはどんな種類があり、どのようにして行われるのか
- フィッシング詐欺の危険な兆候について
- 回避策(教育や脅威インテリジェンスが果たす役割など)
フィッシングとは何か?
フィッシングとは、ログインユーザー名やパスワードなどの個人情報を入手するために、ソーシャルエンジニアリングの手口を使う攻撃手法を指します。脅威アクターはソーシャルエンジニアリングの技法を使ってシステムまたは個人を操作し、不正に許可や利益を得たり、保護された情報を開示したりします。
フィッシング攻撃の例には以下のようなものがあります。
- 組織や管理者を装ってEメールを送りつけ、標的から認証情報を聞き出す。
- 標的のWebサイトに見せかけた偽サイトを制作し、被害者からログイン情報を集める。
フィッシング攻撃は会社の従業員を対象にしており、組織のセキュリティチームが対応可能なほかの攻撃手法とはまったく性質が異なります。だからこそ、セキュリティチームにとっては防ぐことがより困難な攻撃であり、従業員がフィッシング攻撃を特定し、報告する能力を備えていない場合は、とりわけ防御が難しくなります。
フィッシング攻撃の種類
スピアフィッシング
スピアフィッシングとは、脅威アクターが特定の人物や企業、組織に対して個別にEメールを送りつける標的型攻撃キャンペーンを指します。通常、このEメールの差出人は幹部など信頼できる人物に偽装されており、メールにはマルウェアを含む文書や有害サイトへのリンクが掲載されています。
フィッシング VS スピアフィッシング
フィッシングとスピアフィッシングの最大の違いは、一般的に不特定多数を攻撃対象とするフィッシングに対し、スピアフィッシングが特定の人物や組織を狙う標的型攻撃である点です。
どちらもソーシャルエンジニアリングを重点的に利用し、被害者となる標的に攻撃を仕掛けます。攻撃では、メッセージ(フィッシングメール)を本物だと信じ込んでいる個人をカモにしてターゲットを騙し、有害なリンクやファイルをクリック/ダウンロードさせるか、正規のWebサイトに見せかけた偽サイトに誘導して機微なデータや認証情報を収集します。
ホエーリング
「CEO詐欺」としても知られるホエーリングは、企業幹部など価値の高い標的に対して行われる攻撃を指します。「ホエーリング」という名称は、「フィッシング」や「スピアフィッシング」に絡めた言葉遊びから派生しました。ホエーリングでは攻撃者が価値の高いターゲットにスピアフィッシングメールを送信した後、ビジネスパートナー候補や会社従業員を装い、メール受信者にミュールアカウントへ送金するよう依頼します。こういったメールは多くの場合、ターゲットを欺くために本物に見える作りになっているほか、正規のものに見せかけたドメイン名を使用しています。
ヴィッシング
ヴィッシングとは音声の「voice」とフィッシングの「phishing」を組み合わせた混成語で、音声を通じて行われる攻撃を指します。発信者は大抵、政府や税務部門、法執行機関の関係者、あるいは標的が使う銀行の行員を名乗ります。
ヴィッシング詐欺では通常、被害者が前述の組織とトラブルを抱えているかのようなシナリオが使われます。攻撃者は組織の代表者を装い、電話の相手にプレッシャーをかけて個人情報を聞き出そうとするほか、逮捕や銀行口座の閉鎖をほのめかして被害者を脅迫します。
この手法ではボイスメールが使われることもあり、標的がさらなる措置を講じることを防ぐため、発信者へ直ちに連絡を折り返すよう促します。
スミッシング(SMSフィッシング)
スミッシングは「SMS」と「フィッシング」を組み合わせた言葉で、テキストメッセージを介して行われるフィッシング攻撃です。この攻撃では、有害なリンクをクリックするよう指示した内容のテキストメッセージを標的に送りつけます。
フィッシングの脅威ランドスケープ
人気が高く、技術的な知識を比較的必要としない
フィッシングに関する広告やサービスは、不法コミュニティ内で最も人気のある商品の1つです。フィッシングが脅威アクターに好まれる理由には、技術的な知識がほとんど、あるいはまったく必要ないことが挙げられます。フィッシングは組織の脅威ランドスケープにおける人的要素を悪用するもので、技術面での参入障壁が低いことから、幅広い脅威アクターに利用されています。スキルの低いサイバー犯罪者から高度持続的脅威(APT)グループまで、さまざまな脅威アクターが好む手法です。
標的を選ばない攻撃と標的を選ぶ攻撃
フィッシング攻撃は、出荷状況の追跡に関する通知やニュースレター、販促メール、あるいはその他の各種メッセージと見間違えることがあります。これらの文面は多くの場合、受信者に合わせてカスタマイズされたものだったり、特別に作られたりしたものには見えません。また、自然災害や世界規模のニュースイベントなどの重大イベントをキャンペーンのテーマに活かし、ユーザーが意図せずこれに反応する確率を上げるという方法も知られています。
一方、スピアフィッシングキャンペーンでは通常、攻撃者は標的について知り得た詳細な情報(個人を特定できる情報や雇用者の詳細など)を活用します。これらの情報はデータ侵害によって流出した、あるいはオープンソースまたはソーシャルメディアを通じて一般に公開されたもので、企業側が意図的に公表した役職や連絡先、組織図なども含まれます。脅威アクターたちはこういったソースから集めた情報を最大限に利用し、一見して本物と見間違えるコンテンツを作成します。
これと同じように、脅威アクターが従業員を騙してユーザー名とパスワードを入手し、ネットワークにアクセスするといった技法が使われることもあります。あるいは2要素認証(2FA)の回避を援護するため、ユーザーの組織から正規に送信されたように見せかけたEメールを特別に作成することもあります。攻撃者はネットワークへの侵入に成功すると、横方向への移動に加え、より上位の権限を持つアカウントにアクセスすることができるようになります。これによってシステムをさらに制御できるばかりか、より多くのデータを盗み出せるようになり、標的とされた組織を深刻なセキュリティインシデントに陥れることが可能になります。
フィッシング攻撃から身を守るには
スピアフィッシング攻撃から身を守る一番の方法は、迷惑メールに記されたリンクを絶対にクリックしないことです。正規のEメールに見せかけた攻撃の手口は極めて巧妙で、組織の実際の連絡先やWebサイトの情報をフィッシングメッセージに織り込むこともあります。リンクをクリックさせる、あるいはコンテンツのダウンロードを要求するメールを筆頭に、迷惑メールには常に注意が必要です。
また、Webドメインが正規のものかどうかを確認することも、フィッシング攻撃の被害を防ぐための一般的なセキュリティ対策です。ログイン認証情報や何らかの機微情報の入力を求めるサイトには特に注意してください。脅威アクターはユーザーを有害なWebページにリダイレクトさせる前、正規ドメインをランディングページとして使用することがあるため、正規のサイトであることを確かめてから機微情報を入力することが大切です。
個人として行うべき対策には、公開する個人情報をなるべく制限することが挙げられます。スピアフィッシング攻撃でこのような情報を狙う脅威アクターたちは、細部までカスタマイズされたメッセージを作成してユーザーを信じ込ませ、普通なら提供されるはずがない機微情報を引き出します。脅威アクターが繰り出すキャンペーンは巧妙化の一途をたどっており、豊富な見識のあるユーザーさえも騙されるようになってきました。常識的ではない、あるいは一方的な要求が含まれたメールの精査にこれまで以上の時間を費やすことは、こういった攻撃をかわすために最も重要な対策の1つです。
フィッシング攻撃のリスクを緩和するためのベストプラクティス
フィッシング攻撃の被害を未然に防ぐため、組織として考慮すべきステップがいくつかあります。
- フィッシング攻撃の兆候について従業員を教育し、心当たりのないメールやドメインが安全ではないメール、ドメインが送信者の主張する組織とは一致していないメール、あるいは受信者に個人情報の共有を求めるメールに記載されたリンクをクリックしないよう徹底させる。
- 社内のデバイスやブラウザにアンチフィッシングアドオンをインストールし、不審なEメールや既知のフィッシングサイトからEメールが届いた場合は従業員に警告する。
- パスワードローテーションを義務付け、一定期間でパスワードを変更するよう従業員に徹底させる。
- ファイアウォールをインストールし、デバイスを攻撃から守ると共に、脅威アクターのネットワーク侵入を防ぐ。
脅威インテリジェンスの重要性
強力な脅威インテリジェンスプログラムを用意し、攻撃の予兆を示す不審なオンライン活動やソーシャルメディア上のやり取りをセキュリティチームに警告することは、組織にとって極めて重要です。
常に意識を
このようなインテリジェンスの取り組みを行うことにより、効果的なフィッシングキャンペーンの作成方法、アンチフィッシングソフトウェアの回避方法、データを盗むための詐欺ページの勧誘方法などについて、脅威アクターがオンライン上で行うやり取りを漏れなく把握することができます。これらを認識することで、組織のセキュリティ担当者は脅威アクターの先手を取り、より優れた防御策を施すことができるのです。
また、フィッシングに関するオンライン上のやり取りを監視することで、攻撃拡大に結びつく状況を担当チームに警告することができます。脅威アクターは大きなニュースに便乗して攻撃を仕掛けることが多く、新型コロナウイルス感染症(COVID-19)のパンデミック最盛期にみられたCOVID関連詐欺のほか、自然災害やテロ攻撃といった悲劇の後には偽チャリティ活動を展開することが観測されています。
教育と共有
優れた脅威インテリジェンスは、従業員を教育する企業側の能力も強化します。実際の事例や最新の情報を提供することによって、現場の従業員が直面している脅威ランドスケープについて理解が深まります。
このデータによって、将来的に起こり得るインシデントのリスクはもちろん、不正コミュニティで発見されたインテリジェンスに基づいてほかのチームが取るべきステップについて社内で共有できるようになり、よりタイムリーで効果的な行動を起こすことが可能になります。
Flashpointを活用しよう
Flashpointの実用的なインテリジェンスソリューションにより、企業は人、場所、資産を危険にさらすサイバーリスクと物理的リスクをプロアクティブに特定し、軽減することができます。優れた脅威インテリジェンスの力を引き出すために、まずはFlashpointの無料トライアルをお試しください。
※
※日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。
FlashpointやVulnDBについて詳しくは、以下のフォームからお問い合わせください。