フィッシング詐欺は進化し続けています
人間の行動を悪用するという最新の手口
フィッシング詐欺では、あらゆるタイプのサイバー攻撃と同様に、最も弱いリンクが悪用されます。しかし、その他の多くの攻撃とは異なり、フィッシング詐欺では、技術的脆弱性ではなく、人間の行動が悪用されます。旅行の予約、ズームの招待への応答、単にメールの確認など、オンライン上の誰もが標的になります。
約130億件の電子メールのデータを基にした最新のフィッシング脅威レポートでも説明されているように、攻撃者は本物であるかのように見せることに注力しています。攻撃者は、私たちが知っていて信頼しているブランドになりすまそうとし、通常の「営業行為」のやり取りの中で、信頼を悪用します。
攻撃者は、一般的な電子メールセキュリティを回避するための本物そっくりのメッセージを作成することになると容赦をしません。ここでは、攻撃者が使用している具体的な巧妙な手口に関する主な傾向と、それらの手口が侵害の原因となるのを防ぐために組織が使用できる戦略を紹介します。
どこでもかしこでもクリックしない — なんなら、どこもクリックしないで良い
騙しのリンクは、フィッシング脅威のカテゴリーの中で一番多く、— 脅威検出の35.6%に入っています。HTMLのリンク(ハイパーテキスト)のテキスト表示は任意設定が可能なため、攻撃者(悪意のあるURL)は、あたかも無害なサイトにリンクしているかのように見せかけることができます。
ほとんどの組織では、ユーザーに不審な仕事の電子メールにあるリンクに注意するよう促しており、何らかの形でサイバーセキュリティ意識向上のトレーニングを実施しています。しかし、クリックする場所にユーザーがあまり注意を払わないチャネルで攻撃者がフィッシングルアーを投じることが増えています。
「マルチチャネル」フィッシングと呼ばれる方法では、攻撃は1通のEメールから始まり、SMSまたはテキストメッセージ、IM、ソーシャルメディア、クラウドコラボレーションサービスなど、通常、フィッシング対策管理では保護されないその他のインターネット接続されたツールへと攻撃が続く可能性があります。
たとえば、あるマルチチャネルのフィッシング詐欺では、130以上の組織が標的とされ、広く報じられた「0ktapus」攻撃が含まれていました。個人に対しては、一般的なシングルサインオン(SSO)サービスであるOktaになりすましたフィッシングサイトにリダイレクトするテキストメッセージが送信されました。最終的に、1万人近くの認証情報が盗まれました。
複数の通信チャネルを標的にした別の詐欺では、攻撃者はActivisionの従業員をフィッシングし、企業内のSlackチャネルを介して機密データを盗み出しました。
Forrester Consulting*が実施したCloudflare委託グローバル調査によると、以下の通りです:
セキュリティ部門の意思決定者の89%がマルチチャネルフィッシングの脅威に懸念を示しています。
10人中8人は、会社が、IM、クラウドコラボレーション、生産性ツール、モバイル、SMS、ソーシャルメ��ディアなどの多様なチャネルに露出していると回答しました。
しかしながら、様々なチャネルでフィッシングの脅威に完全に備えていると感じていたのは、回答者の4人に1人だけでした。
最も「訓練された」従業員(およびセキュリティソリューション)でさえ、悪意のあるリンクを100%正確に特定できないため、攻撃者は依然としてリンクを使用するのです。たった一人のユーザーが間違ったリンクをクリックするだけでも、認証情報の盗難、マルウェア、そして重大な経済的損失につながる可能性があります。
これにより、もう1つの最近の傾向として重要視されているフィッシング手法が見えてきます。それは、送信者のIDを認証するはずのサービスを回避する(あるいは利用する)悪意のある電子メールです。
攻撃者はセキュリティ検査を「パス」する
フィッシング詐欺師は有名な企業やブランドを装ってクリックさせようとします。調査によると、攻撃者は1,000近くの異なる組織を装っていました。Microsoftをはじめ、その他、Salesforce、Box、Zoomなど — ユーザーが仕事をする上で頻繁にやり取りするブランドは、すべてリストの上位に記載されていました。
「企業・ブランド偽装」として知られるこの手口は、以下のような幅広い手口で実行されます:
表示名のなりすましの場合、表示されるメールヘッダー内で、送信者の表示名に既知のブランド名、または正規のブランド名が記載されています。
ドメイン偽装、またはドメインスプーフィングの場合、攻撃者は、偽装ブランドのドメインに似たドメインを登録し、そのドメインを悪用して、フィッシングメッセージを送信します。
まだ悪意のあるものに分類されていない新規登録ドメインというものもあります。(0ktapus詐欺では、攻撃者によって、攻撃前のたった1時間足らずで、登録されたドメインが悪用されました。)
電子メール認証標準(SPF、DKIM、DMARC)が企業・ブランド偽装に対する重要な防御策とみなされることがよくあります。しかし、これらの方法には制限があります。この調査では、電子メール脅威の大部分(89%)がSPF、DKIMおよび/またはDMARCの検査に「パス」したことがわかりました。
このようなことが起こるには、多くの理由があります。たとえば、最近の大学の研究調査では、攻撃者がMicrosoft Outlookを悪用できるというメール転送の欠陥について詳述されています。
電子メール認証に関しては、他にも、以下のような制限が存在します。
コンテンツ検査の欠如:書留郵便で手紙を送るのと同様に、電子メール認証によって配信が保証されます。メッセージの内容に悪意のあるURL、添付ファイル、または悪意のあるペイロードが含まれているかどうかは検査されません。
類似ドメインに対する限定的な保護:電子メール認証では、適切に登録された類似ドメイン名またはいとこ�ドメイン名に対し、警告しません。たとえば、name@example.comではなくname@examp1e.comから送信されたメッセージなどがあります。
設定の複雑さと継続的なメンテナンス:設定が厳しすぎると、正当なメール
の拒否や、スパムとしてマークされることがあります。あまりに緩すぎると、ドメインがなりすましメールやフィッシングに悪用される可能性があります。
フィッシングは非常に動的なため、「安全な」送信者を信頼できない
企業・ブランド偽装を阻止するための電子メール認証の失敗に見られるように、攻撃者には適合力があります。仮に、攻撃者が、昨日はCOVID-19に関する詐欺メッセージを送信し(世界保健機関は昨年、2番目になりすましの被害が多かった組織でした)、今日は、学生ローンの返済の詐欺を実行したとしたら、明日、どのようなフィッシング行為が起こりうるのかということです。
大きな課題は、最もコストのかかるフィッシング攻撃が非常に標的を絞った低い量で行われることです。「既知の」脅威を検出する「リアクティブセキュアメールゲートウェイ(SEGs)」を使用することで、攻撃者は、これらの脅威を簡単に識別することはできなくなります。
例えば、悪意のある添付ファイルやマルウェアを含まないソーシャルエンジニアリング攻撃の一種である「ビジネスメール詐欺(BEC)」は、組織内の特定の受信者に合わせてカスタマイズされています。攻撃者が、狙っている被害者が定期的にメッセージを送信している宛先の人物になりすましたり、既存の正当なメールスレッドを「ハイジャック」したりする可能性があります。
BECは世界中の企業と個人に、500億ドルの費用を費やしてきました。BECの損失は、現在、ランサムウェア関連の経済的損失を上回っています。sこれらのBEC詐欺を成功させるために、攻撃者が最初に被害者の作業内容(および被害者が信頼する人々)をどのようにして深く理解したのかについて、以下にいくつかの事例を紹介します。
攻撃者は、今年初めにコネチカット州の公立学校システムのCOOとベンダーによる電子メールを監視し、— そして、それを装って、— 600万ドル以上を盗��み取りました。(ベンダーメール詐欺またはサプライチェーンフィッシングとして知られるこの複雑な形式のBECの詳細については、こちらをご覧ください)。
一連のBEC(ビジネスメール詐欺)計画によって、州の「メディケイド」プログラム、メディケア管理請負業者、そして民間医療保険会社が騙され、本来病院の銀行口座に振り込むべき470万ドル以上を、攻撃者に流用されました。
2022年、攻撃者は(偽の)企業、4社になりすまし、食品メーカーから60万ドル相当の出荷品を騙し取りました。この種の事件は非常に蔓延しているため、FBI、米国農務省(USDA)、および食品医薬品局(FDA)は、企業向けに「BECを利用した製品盗難計画を防止、検出し、対応する」という共同勧告を出しました。(食品の盗難や「偽造」により、世界経済は年間400億ドルもの損失を被ると推定されています。)
独自に特化したフィッシング詐欺であれば従来のセキュリティゲートウェイを出し抜くことができます。Forresterのアナリストは、攻撃者がBarracudaメールセキュリティゲートウェイの脆弱性を悪用していることについて、ブログで、「2023年になって、メールセキュリティアプライアンスの再登場は必要なくなった」と宣言したのは、おそらくこれが理由かもしれません。
また、Forresterでは、代わりに、以下のような理由から電子メールセキュリティをクラウドに移行することを推奨しています:
より高速なアップデートを自動で実行
よりシンプルなアーキテクチャ
需要を満たす拡張性
ハードウェアへの心配が不要、交換も不要
簡単な修復と軽減
クラウドメールセキュリティにSEGを置き換えることは、フィッシングを防ぐための最も重要なステップです。しかし、攻撃者が詐欺を開始するために��複数のチャネルを使用するのと同様に、企業もフィッシングに対し、防御の複数のレイヤーを確保する必要があります。
特に複数のデバイスにまたがるメッセージング、クラウドコラボレーション、SaaSアプリのすべてがリスクとなる場合には、階層化されたフィッシング対策が必須です。Forresterの上級アナリストであるジェス・バーン氏は「電子メールの受信トレイ用に開発された保護をそれらの環境と従業員の日々のワークフロー全体に拡張する必要がある。」と注意を呼びかけています。彼女は、「企業のメールセキュリティベンダーを選択または更新する場合は、どのベンダーがユーザーのあらゆる働き方を保護する包括的なアプローチを実現または優先しているのかを見極めてほしい」と付け加えています。
将来の脅威を阻止するための多層アプローチの力
メッセージが電子メール認証にパスし、信頼できるドメインから発信されており、「既知の」送信者からのものであったとしても、本質的には信頼してはなりません。信頼する代わりに、潜在的なフィッシング攻撃を防ぐには、すべてのユーザートラフィックが検証、フィルタリング、検査し、インターネットの脅威から隔離されることを保証するためのZero Trustセキュリティモデルが必要です。
Cloudflare Zero Trustは、フィッシングの脅威から包括的に保護をしますが、これには以下のことも含みます:
クラウドメールセキュリティとリモートブラウザ分離(RBI)を統合することで疑わしい電子メールリンクを自動的に隔離します。これにより、ユーザーのデバイスが悪意のあるWebコンテンツにさらされるのを防ぎます。
積極的にインターネットをスキャンして、攻撃者のインフラストラクチャ、ソース、配信メカニズムを検出することで、フィッシング詐欺が開始される数日前にフィッシングインフラストラクチャを特定して阻止します。
正規のブランドのフィッシングのために特別に作成されたホスト名を検出します。その検出機能により、毎日、何兆件ものDNSクエリーをふるいにかけています。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
*出典:Forrester Opportunity Snapshot: Cloudflareが委託したカスタム調査、「Leverage Zero Trust to Combat Multichannel Phishing Threats(マルチチャネルフィッシングの脅威と戦うためのZero Trustの活用)」(2023年5月)。
このトピックを深く掘りさげてみましょう。
一般的なメールセキュリティ防御を欺く最新のフィッシング脅威に関しては、最新のフィッシング脅威レポートを入手して詳細をご確認ください。
記事の要点
この記事では、以下のことがわかるようになります。
攻撃者は私たちが信頼しているブランドになりすまし、本物のように見せかけます
マルチチャネルフィッシング詐欺への進化
クラウド電子メールセキュリティへの移行がフィッシングを防ぐための最も重要なステップです
現代の企業を保護する上でのZero Trustが担う役割