企業を狙うサイバー攻撃のうち最も多いのは、詐欺の電子メールあるいは偽のウェブサイトに誘導するフィッシング攻撃だと言われています。フィッシングメールを利用したマルウェアや、ID・パスワード情報の盗難を試みる標的型攻撃は執拗に企業を狙い撃ちしており、大規模な情報流出事件が報道されることが後を断ちません。知らないアドレスからメールが届いた経験は、誰もが一度はあるのではないでしょうか。身近に蔓延するフィッシング攻撃は年々手口も巧妙化しています。今回は近年のフィッシングの傾向や対策を解説していきたいと思います。
フィッシング攻撃とは
フィッシング(phishing)とは、インターネットのユーザーから経済的価値がある情報を奪うために行われる詐欺行為です。攻撃者はユーザーをだましてオンラインから個人情報を入手しようと試みます。フィッシングサイトが要求する情報には次のようなものがあります。
- ユーザー名とパスワード
- 社会保障番号
- 銀行口座番号
- PIN(暗証番号)
- クレジットカード番号
- 母親の旧姓
- あなたの誕生日
金融機関や有名企業を装った電子メールで、「アカウント更新のため」などとして電子メール内に書かれているURLをクリックさせた後、表示された偽のWebサイトに口座番号などのID・パスワードなどを入力させ個人情報を取得するというものです。偽のWebサイトとはいえ、見た目はそっくりに作られているため、それが偽のWebサイトであるということに気づくのは困難です。
イギリス政府が公開したセキュリティレポート「2019 Cyber Security Breaches Survey」でも、フィッシングや偽の電子メールは企業にとって最大のセキュリティ問題だと報告されています。
巧妙化するフィッシングの手口
スピアフィッシング
スピアフィッシングは、単純ですが危険性の高い、電子メール経由の標的型攻撃です。一見何の変哲もないメールの本文にリンクが記載されていたり、ファイルが添付されていたりします。他のフィッシングとの違いは、普通のフィッシングは範囲や標的を絞らずに行われるのに対し、スピアフィッシングは特定の企業の特定の人物や社員を標的にする点です。標的を絞り込むため精度が高まり、通常のフィッシングよりも悪質で危険度が高いと言われています。サイバー犯罪者は標的に関する情報を慎重に収集し、標的を引き付ける「餌」を用意します。うまく作られたスピアフィッシングメールは本物とほぼ見分けがつかないため、相手をより簡単に釣り上げられるのです。不特定多数に送り付けるスパムメールならメールを開く人は3%程度ですが、狙いを定めたスピアフィッシングでは、70%ものメールが開かれてしまうと言う統計も出ています。
攻撃者は、基本的に実用的で小さなプログラム、例えばMicrosoft WordのマクロやJavaScriptコードを使って文書を攻撃の手段に変え、一般的なファイルに埋め込みます。その唯一の目的は、さらに有害なマルウェアを標的のコンピューターにダウンロードすることです。コンピューターに感染したマルウェアは、標的のネットワーク全体に拡散することもあれば、集められるだけの情報を集めまくることもあります。このようにして、マルウェア作成者は目的の情報を探し出します。こうした高度に・入念に準備され行われるスピアフィッシングは、大企業の幹部、金融機関の職員等影響力のある人物に狙いを定めます。
また、スピアフィッシングのメールの大半は、ITの監督権限のある方、あるいはネットワークドメインのアドミニストレータを標的に送られます。ここを攻略すれば社内ネットワークにマルウェアを広げることができるからです。スピアフィッシングの中でも、特に大きな獲物、すなわち最高経営責任者(CEO)などの経営幹部を狙うフィッシングのことを、ホエーリング(whaling)やホエールフィッシング(whale phishing)と呼びます。社外の取締役等はその会社の社員ではないことから、業務関連の連絡に個人用のメールアドレスを使っている場合も多く、ホエールフィッシングの標的に狙われやすいという指摘もあります。新型コロナウイルスの感染拡大に便乗した、中国、北朝鮮、ロシアなどの攻撃グループによる複数のスピアフィッシング攻撃等も報告されています。
ラテラルフィッシングメール
ラテラルとは「横方向へ」を意味します。よって、サイバー攻撃により内部ネットワークに不正侵入後、横方向への感染を拡大する行為は「ラテラルムーブメント」と呼ばれます。ラテラルフィッシングは、攻撃者が組織内のメールアカウントを何らかの手法で乗っ取り、その組織の正規アカウント(ドメイン)から、取引先等なんらかの横つながりにある企業に対しフィッシングメールを送るものです。正規の内部アカウントからのメールなので、現在の攻撃検知の想定外のため、一般的に検知が困難です。フィッシングが浸透してから、「偽ドメインからのメール」へ警戒を強める従業員も多くなりました。有名企業を騙るメール名でも、ドメインが異なれば不用意に開かないというのはもはや常識となりました。しかし、ラテラルフィッシングの場合、「正規ドメイン」からフィッシングメールが送付されて来るので、この常識が通用しません。
実際の事例
ラテラルフィッシングは「Microsoft 365」(旧Office 365)のアカウントの乗っ取りで問題になりました。Microsoft 365にはメールやファイル共有など様々なサービスがありますが、クラウド上の共通URLからIDとパスワードでアカウントにログインして利用できるため、昨今のテレワークでも広く導入されています。
まず攻撃者がA社の正規のメールアカウントを乗っ取り、取引先であるB社に対してMicrosoft 365のアカウント窃取を狙ったフィッシングメールを送り付けていたことが報告されています。フィッシングメールはA社の正規ドメインから送付され、またメール内のURLリンクはMicrosoft SharePointの正規ドメイン「sharepoint.com」を使用しており、このURLからフィッシングページへの誘導が開始されています。URLリンクをWebブラウザーで開くと、SharePoint上のOneNoteで共有されたPDFをダウンロードするように装っていました。A社の社名に関連する文字列も多く使われています。偽造されたフィッシングページでIDとパスワードを入力してPDFをダウンロードするように仕向けられ、そのままMicrosoft 365のアカウントの乗っ取りが謀られていました。
ファーミング
ファーミング(Pharming)とはDomain Name System(ドメインネームシステム、DNS)の設定を書き換え、インターネットの閲覧者を偽のウェブサイトに誘導することで不正に個人情報を得る、又は得ようとする行為です。合法的に所有していたユーザーのドメインを奪ったり、DNSまたはプロキシーサーバーのアドレスを変造したりすることにより、ユーザーが本当のサイトと誤認して接続するよう誘導した後、個人情報を盗む新しいコンピューター犯罪の手口を意味します。
こちらでもその手口を以前に解説していますが、ファーミングはフィッシングをさらに発展させた詐欺行為です。外見が似ている偽のサイトにユーザーを誘導するために、偽のサイトでは、閲覧者のコンピューターに悪質なソフトウェアをインストールするか、パスワードや金融取引情報などのユーザーの個人データを収穫(ファーム)します。
フィッシングが「釣り」(fishing)をもじった名称であるのに対して、ファーミングの手口は大規模農業を連想させるため、農業(farming)をもじった「pharming」と名づけられたとされています。ファーミングは、ユーザーの自発的な行動を利用して行われる詐欺の手口であるため、ユーザーが警戒心を抱きにくいという特徴があります。誘導先の偽Webサイトは金融機関など、実在の有名企業の正規Webサイトとそっくりに作り込まれています。本物と思い込んだユーザーがログインページでID、パスワード、クレジットカード情報などを入力・送信したところを詐取します。
進化するフィッシングの対策
複数のセキュリティソリューションを導入する
ラテラルフィッシングの手口からしても分かる通り、人が自分で要・不要を判断しても完全に防ぐことはできません。メールフィルタリング、Webフィルタリングを備えたシステムの導入や、WAF等のソリューションでの防御が有効です。
メールサーバーでブロックする.フィッシング詐欺は主にメールを介して行われます。そのためメールサーバー側で不審なドメインからのメールをユーザーに配信しないようにブロックしたり、フィッシングの危険度を判定して通知したりすることが防御への有効手段となり得ます。
多要素認証を導入する多要素認証とは、「記憶」「所持」「生体」の3つの認証要素から、2つ以上を利用する認証方法を指します。ユーザーが覚えておくIDとパスワードの組み合わせは、記憶にあたります。ひとつの認証ではなく、2つ、もしくはそれ以上と組みあわせることでセキュリティ強度が向上します。
最後に
フィッシングは私たちが日常でやり取りするメールを装って攻撃が行われるため、信憑性が高く騙されやすいという危険性があります。さらに、情報が流出したことにも気づきにくいという特徴も挙げられます。古典的な手法ですが、進化し形を変え、巧妙に機密情報を狙っています。もはやヒューマンリソースでは防ぎきれないこうしたサイバー攻撃に対処するため、多層的な防御の可能なセキュリティソリューションの導入を検討することも必要となってくるでしょう。
