フィッシングとは?

フィッシングとは、悪意ある E メールを送信し、受信者をだましてメールを開かせ、メール内容に関わらせようとする行為です。フィッシングメールの「送信者」は、その E メールが政府機関、サプライヤー、顧客など、信頼できる送信元からのものであるかのように装うことで被害者を欺きます。

フィッシングメールには PDF や Word 文書など、悪意あるファイルが添付されていることがあります。これらのファイルを開くと、ユーザーのコンピューターに有害なマルウェアがインストールされます。あるいは、E メール本文に悪意ある URL が含まれている場合もあります。ユーザーがこのリンクをクリックすると、一見問題がなさそうなサイトに誘導されますが、実はそのサイトは、ユーザー名やパスワードなどの機密情報を収集したり、ユーザーのデバイスにマルウェアをインストールしたりするのに使用されます。

フィッシングの達成方法は?

サイバー犯罪者は、フィッシングを達成するために、感染した E メールアカウントを使用したり、送信元 E メールアドレスになりすましたりして、実際の悪意ある送信者を隠します。これは比較的単純な細工であり、E メールヘッダーの改ざんと大差ありません。E メールがユーザーの受信箱に入ったら、送信元が johndoe@example.com ではなく、info@anybank.com に見えるようにすればよいのです。

サイバー犯罪者は、感染した E メールアカウントを使用したり、送信元 E メールアドレスになりすましたりします。

残念ながら、特に設定していなければ、E メールの受信を処理するサーバーが、anybank.com の代理として example.com から E メールを送信してよいかどうかを確認することはありません。このような E メール認証の弱点を回避するために、これまでいくつかの技術ソリューションが提案され導入されてきましたが、まだあまり利用されていません 1。E メールの送信側と受信型のサーバーの両方を正しく設定し、両側で認証を適切に機能させる必要があるという点が普及を阻む一因と考えられます。

フィッシングメール攻撃は、広範な E メールスパム攻撃の 1 つとして使用されることが多く、通常、感染したコンピューターのボットネットから大量に送信されます。E メールスパム攻撃は 2016 年に 400% も増大しました。世界で送信された全 E メールの半数近くがスパムであったと考えられます 2。しかし、Necurs ボットネットの削除により、2017 年にはスパムが 50% 減少しました 3。これはよい兆候ですが、E メールはいまだにマルウェア拡散の主要な手段となっています 4

フィッシングの種類

偽装フィッシング:これは最も一般的なフィッシングのタイプで、サイバー犯罪者が正当な企業やドメインを装い、個人情報やログイン認証情報を盗もうとする行為です。このタイプのフィッシングには、カスタマイズやパーソナライズの要素がまったくない場合が多く、ショットガン方式でばらまかれます。大量に E メールをばらまけば、それなりの数のユーザーがメールを開くだろうと期待しているわけです。

たとえば、どの銀行になりすましても、受信者の一部はその銀行の顧客であるという想定のもとに不特定多数に送信される「銀行取引」フィッシングメールは、このタイプの例と言えます。通常、このような E メールには緊急性を示す件名が付けられます。たとえば、「お客様の銀行口座に不正アクセスがありました。すぐにパスワードを更新してください」または「支払期限の過ぎた請求書を添付 -今すぐお支払いいただかないと法的手段を講じます」などです。前述のとおり、リンクをクリックして明細情報が送信されたり、添付ファイルを開いたりすると、被害にあいます。

「お客様の銀行口座に不正アクセスがありました。すぐにパスワードを更新してください」

スピアフィッシング:スピアフィッシングのメールは一般的なフィッシングメールとは異なり、特定対象向けにパーソナライズされた要素がたくさん含まれています。最終的な目的は同じですが、送信者は悪意ある URL や添付ファイルを受信者にクリックさせるために、攻撃メールをカスタマイズし、受信者の名前、会社、肩書を入れたり、受信者の同僚や仕事の関係者に言及したりします。このような個人的な詳細情報を出すことで、受信者が悪意あるコンテンツにアクセスする確率を高めます。現在はビジネス・ネットワーキング・サイトやソーシャルメディアが普及していることもあり、サイバー犯罪者は偽装メールに説得力を持たせるための個人情報を以前より簡単に入手できます。

ホエールフィッシング/CEO 詐欺/ビジネスメール詐欺(BEC):このタイプは、企業幹部を狙ったフィッシングです。目的は、「鯨(ホエール)」を釣る、つまりエグゼクティブを騙して彼らのログイン情報を収集することです。エグゼクティブの詳細情報を盗んだサイバー犯罪者は、そのエグゼクティブを装い、Business Email Compromise(ビジネスメール詐欺、BEC)によって CEO 詐欺と呼ばれる行為をします。たとえば、CEO を送信者として、「仕事で中国にいるが、至急、現地のサプライヤーに未払い請求書の支払をする必要があるので大きな金額の送金を許可する」といった内容の緊急メールを財務部に送信するのです。2014 年から 2016 年にかけて、CEO 詐欺は 12,000 社の企業に影響を及ぼし、これにより 20 億ドルものコストが生じました 5

2014 年から 2016 年にかけて、CEO 詐欺は 12,000 社の企業に影響を及ぼし、これにより 20 億ドルものコストが生じました。

ビジネスに影響するフィッシングのリスクを軽減するには

最大の弱点について教育します。フィッシングは、悪意ある何かをユーザーが開くかクリックしないと達成されません。したがって、さまざまなタイプのフィッシングの見分け方、回避法、報告手順を従業員に教育する必要があります。本当のサプライヤーからのメールとフィッシングメールとの区別をユーザーに教えるには、「至急:請求書添付 - 今すぐ開いてお支払いください」といった件名の偽のフィッシングメールを送信する演習が効果的です。企業は社内全体で教育および啓発プログラムを継続的に実施する必要があります。

幹部への教育も忘れてはなりません。騙されやすいのは幹部も従業員も同じです。しかし、幹部がセキュリティ上のミスを犯すと、その結果ははるかに大きなものとなります。サイバー犯罪者が巧妙になるにつれて、ホエールフィッシング、CEO 詐欺、ビジネスメール詐欺(BEC)は拡大傾向にあります。教育啓発プログラムには必ず幹部も含めるようにしてください。

幹部への教育も忘れてはなりません。

財務プロセスを確認します。今日の世界では、あらゆるものが接続され、人々の要求は厳しくなり、ビジネスにかかるコストは拡大する一方です。もちろん困難の度合いはさまざまですが、急いで海外に大金を海外に送金しなければならない状況も珍しくありません。こうした送金が偽りではないことを検証するプロセスの導入を検討すべきです。幹部の要求を妨げたり、幹部に質問したり、幹部を怒らせたりすることは誰もしたくないはずです。しかし、何十万ドルもの資金が会社の金庫から抜き取られるくらいなら、細心の注意を払う方がよいに決まっています。

多層防御のセキュリティを導入します。攻撃者はセキュリティの回避に力を注ぎ、常に手法を変えています。この原則を念頭に置いて、多層防御のセキュリティ戦略を採用することが最善の策です。まず、E メールフィルターを使用して、会社に着信するすべての E メールをスキャンします。これにより、かなりの数のフィッシングをブロックできます。次に、フィッシング防御機能が含まれたエンドポイントアンチウィルス製品を導入します。最後に、ユーザーが悪意あるリンクをクリックすることによって送出されるウェブリクエストを監視できるようなソリューションを導入します。これは、DNS ベースのソリューションでもプロキシベースのソリューションでもかまいません。

多層防御のセキュリティ戦略をとることが最善の策です。

多要素認証を有効にします。上記の注意事項をすべて守ったとしても、フィッシング攻撃が成功して従業員のユーザー名とパスワードが盗まれる可能性は残ります。このリスクを緩和するには、多要素認証を導入して、たとえ認証情報が盗まれたとしても、攻撃者がアプリケーション、サービス、機密データにアクセスできないようにすることが重要です。


1 https://luxsci.com/blog/state-domain-based-email-authentication-part-1.html
2 https://www.ibm.com/security/data-breach/threat-intelligence-index.html
3 https://www.proofpoint.com/sites/default/files/pfpt-us-tr-q117-threat-report.pdf
4 http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017/
5 https://www.ft.com/content/19ade924-d0a5-11e5-831d-09f7778e7377
6 https://www.ibm.com/security/data-breach/threat-intelligence-index.html
7 https://www.symantec.com/security-center/threat-report
8 https://www.symantec.com/security-center/threat-report
9 https://www.symantec.com/security-center/threat-report
10 https://www.proofpoint.com/us/human-factor-2017
11 https://www.proofpoint.com/us/human-factor-2017