ビッシング攻撃とは?
ビッシングとは、電話を通じて人々を騙し、機密情報を聞き出す行為のことです。ビッシングの被害者は、機密情報を共有する相手が税務当局、雇用主、利用している航空会社、または直接面識のある人物などであると思い込まされます。ビッシングは「ボイスフィッシング」とも呼ばれています。
フィッシングとは、信頼できる当事者を装って機密情報を盗み出そうとする行為の総称です。フィッシングには、メールフィッシング(「フィッシング」とだけ呼ばれることもあります)、ボイスフィッシング(ビッシング)、ホエーリング、 スピアフィッシング など、さまざまな形態があります。
ビッシング攻撃を検知または監視することは困難ですが、ここで重要なのは、攻撃者は同時に異なる媒体を通じて情報へのアクセスを試みることを理解することです。したがって、メールフィッシング攻撃が急増している場合、ボイスフィッシング攻撃も行われている可能性の兆候として捉えることができます。従業員のセキュリティ意識を高めることが最大の盾となるため、組織はこのようなインシデントについて従業員の教育を実施する必要があります。
ビッシングとソーシャルエンジニアリングの関係は?
ビッシングは、ソーシャルエンジニアリングの一種です。攻撃者は、迷惑電話でクレジットカードの詳細を聞き出すなどの被害者が本来なら行わないようなことを要求します。攻撃者は、欲望、恐怖、助けたいという欲求など、人間の基本的な感情を利用します。攻撃者は、緊急事態にいる友人のふりをして、被害者に送金を促すこともあります。また、雇用主のIT部門になりすまし、社内ネットワークにアクセスするためのユーザー名とパスワードを聞き出そうとすることもあります。
ビッシング攻撃の仕組みは?
ビッシング攻撃には様々な形態がありますが、多く行われる手口には次のようなものがあります。
- 驚きの要素:発信者は、税務当局、企業、国営宝くじなど、通常電話をかけてこないような組織の一員を名乗る場合があります。また、被害者にとって身近な人物を名乗り、いつもとは違う様子で電話をかけてくることもあります。
- 切迫感と恐怖感:発信者は、ある行動を速やかに取らなければ、悪い結果になることをほのめかしたり、脅したりすることがあります。このような結果には、ペナルティ(例えば、滞納している税金をすぐに支払わなければ逮捕される恐れがある)や、機会損失(例えば、個人情報をすぐに共有しないと宝くじの当選金を得ることができない)などがあります。
- 情報の要求: 発信者は、氏名、住所、生年月日、パスポート番号、クレジットカードの詳細など、個人情報や機密情報を聞き出します。攻撃者は、すでに情報の一部を所持しており、それを補完したり確認しようとしている場合があります。
- タイムリーな要素:ビッシング攻撃は、しばしば時事問題に関連付けて行われます。例えば、Covid-19がパンデミックとなった当初、攻撃者は在宅勤務を始めたばかりの従業員に電話をかけ、企業のIT部門の一員であると名乗り、企業のアプリケーションやデータへのアクセスを許可するためと言ってユーザー名とパスワードを要求したのです。これらの攻撃は国際的に発生し、さまざまな組織が巻き込まれました。政府機関やNGOのほか、製造業、ソフトウェア開発会社、航空会社などが標的にされました。
ビッシングの被害に遭わないために
フィッシングから身を守るために、個人でもできることはたくさんあります。以下がその例です。
- 電話で金銭や機密情報を要求する人物に注意する:ほとんどの当局は、(個人情報であろうと、電話を受けた者が所属する組織に関する情報であろうと)そのような情報を電話で尋ねることはありません。
- 電話に表示される身元の詐称は技術的に可能であることを認識する:VoIP技術を使用して電話番号を偽装したり、特定の地域の番号を使用することは難しくありません。そのため着信を、発信者番号通知や地域番号を基に信用するべきではありません。
- 緊急性を疑う:緊急性を煽ったり、行動を急かすような人物は信用しない方が賢明です。代わりに、落ち着いて起こりうる結果について考えましょう。
- 発信者の身元を暗黙的に信用しない:公開されている企業の電話番号を検索して電話をかけるなどして、発信者の身元を確認することが重要です。発信者がコールバック番号を提供してきた場合、詐欺の一部である可能性があるため使用しないでください。発信者が友人や家族を名乗る場合は、その人に他の通信手段で連絡を取るか、共通の知人に連絡して確認します。
ビッシング攻撃から組織を守るには
企業がビッシング攻撃から身を守るために、文化的、技術的なレベルで実施できる対策がいくつかあります。
教育:現在のビッシングの傾向や一般的な特徴に関して従業員を教育することが重要です。こうすることで、従業員が特定のシナリオに関する知識から攻撃に気付いたり、ビッシング攻撃の特徴があると感じた場合は用心することができるようになります。また、従業員にどのような場合に連絡するか、または連絡しないかについて、上司から注意を促すことも有効です。例えば、CEOが従業員に電話をかけて個人情報を聞き出したり、銀行振込を依頼するようなことはありません。当たり前のことかもしれませんが、それでもCEOはこのことを定期的に伝えておくとよいでしょう。
文化:組織は、従業員がビッシング攻撃の被害に遭ったことを安心して報告できるように努める必要があります。このような場合に備えた手続きを用意し、従業員にそれを認識させ、インシデントを迅速に報告したことで自分に影響がないかというような不安を与えないような信頼できる雰囲気を作り出ることが理想的です。
テクノロジー:電話で行われるビッシング攻撃は、メールでのフィッシング攻撃よりも検出や防止が困難です。しかし、被害対策や監視のために一定の手段を講じることは可能です。
- 多要素認証:社内システムや情報へのアクセスに2つ以上の認証要素が必要な場合、攻撃者は電話でログイン情報を聞き出すだけではアクセスすることが難しくなります。
- 最小権限の原則:従業員がビッシングの被害に遭い、端末が危険にさらされた場合、その被害をできる限り最小限に抑えるようにします。従業員が自身の職務に必要なシステムと情報のみにアクセスできるようにすることが重要です。CloudflareのZero TrustサービスなどのZero Trustネットワークアクセス技術が、このアクセス管理に有効です。従業員が自身の職務に必要なシステムと情報のみにアクセスできるようにすることが重要です。CloudflareのZero TrustサービスなどのZero Trustネットワークアクセス技術が、このアクセス管理に有効です。
- アクセスログ:通常とは異なる活動を検出および監視するシステムを導入することは重要です。Zero Trustテクノロジーは、この点でも組織に有効です。
- メールセキュリティをセンサーとして利用する:攻撃者は通常、複数の形式のソーシャルエンジニアリングを同時に使用します。Cloudflareのメールセキュリティ技術を利用することで、メールフィッシングの試みを阻止するとともに試行回数が増加した場合に警告を受けることができます。多くの場合、メールフィッシングの増加は、ボイスフィッシングも増加していることを意味します。