今日の現実は、デジタルインタラクションに支配され、デジタルインタラクションに依存しています。IT・セキュリティリスクの筆頭はフィッシング攻撃で、サイバー攻撃の10件中9件でフィッシングが初期ベクトルになっています。この1年間だけでも、攻撃者は1,000以上の企業や機関を装って約4,000万件のアイデンティティ偽装と10億件以上のブランドなりすましを試みており、フィッシングによる企業の損失は全世界で500億ドル以上に上っています。フィッシングはとにかく有効なのです。そして、脅威アクターはエクスプロイトを成功に導く手法をとことん活用するでしょう。
フィッシングはなぜ有効なのでしょうか?この攻撃は人を狙うもので、人はいいストーリーが大好きだからです。実際、人類すべてがストーリーによって動かされているという意見もあります。フィッシング攻撃を成功させるためにサイバーアクターが採用する戦術はただ一つ、真正性(本物らしさ)です。ブランドになりすますフィッシングには視覚的真正性が最も直接的に関係し、ビジネスメール詐欺(BEC)のフィッシングには企業・団体の真正性が最も密接に関連します。
第一の目的は本物に見えること。例えば、有名ブランドをターゲットにし、何が本物で何が悪意あるものかをユーザーが判別しにくくするのです。実際、攻撃メールは、20の世界的有名ブランドのいずれかになりすますものが最も多く(51.7%)なっています。それらは企業とのインタラクションが多い人気ブランドで、Microsoftが第一位、続いてGoogle、Amazon、Facebook、WHO(世界保健機関)などが上位にランクインしています。
脅威アクターは、大規模な世界的イベントやブランド関連のトレンドにも便乗します。例えば、ワールドカップがあるとワールドカップ関連アセットを活用した攻撃キャンペーンが行われ、G20サミットがあるとG20関連のアセットを活用したキャンペーンが行われます。新型コロナウイルス感染症(COVID-19)の流行時は、COVID-19関連のトレンドを利用した攻撃が続出しました。現実のイベントがサイバースペースに取り込まれるわけで、ある意味、脅威アクターは驚くほど予測可能だと言えます 。結局のところ重要なのは、フィッシングも他の攻撃と同様、最大の弱点を突いてくるということです。ここでの弱点は、人を信頼してしまうという人間の性向です。
脅威アクターが正規を偽装すれば、被害者を騙してリンクをクリックさせたり有害なファイルをダウンロードさせたりするという第二の主目的は、簡単に達成されます。知っていると思う人からタイムリーに送られてきたリンクやファイルを開けたくなるのは、ごく自然なことです。今年春、脅威アクターがシリコンバレー銀行(SVB)の破綻で起こった大混乱に乗じて、顧客を食い物にしました。SVBを装ってDocuSignをテーマにした「リンク」を送り、それをクリックしたユーザーを攻撃者が所有する複雑なリダイレクトチェーンに誘導するという、広範なフィッシングキャンペーンを実施したのです。
フィッシング攻撃への対策はかつてなく重要になっています。この問題は克服不可能に思えるかもしれませんが、どんな組織でもとれるセキュリティ体制強化のための3つの重要行動があります。
たった1件の不正メールが重大な被害を及ぼしかねず、受信トレイに標準装備されたセキュリティツールではこうした攻撃に対抗できません。2013年から2015年にかけて、テクノロジー大手のFacebookとGoogleが不正請求の被害に遭い、ベンダーになりすまして数百万ドルの請求書を繰り返し送っていた攻撃者に、合わせて1億ドルを騙し取られました。2016年には、オーストリアの航空宇宙部品メーカーFACCで、同社CEOの指示を装ったフィッシング詐欺を従業員が本物と信じて振り込みを行い、4700万ドルが詐取されています。
脅威アクターは人気プロバイダー(MicrosoftやGoogleなど)を利用して攻撃を仕掛けることが多く、それにより一般的な認証チェックを回避します。今日のメールセキュリティの手順では、メッセージが受信トレイに到達する前、最中、後に多層防御を適用する必要があります。SPF、DKIM、DMARCといった認証規格は重要な保護策ですが、それだけではフィッシング攻撃に対する包括的な保護はできません。これらの規格は、フィッシング攻撃によくある危険なメールやリンクの存在を検出するようには設計されていないのです。そのことは、迷惑メールの89%がそれらの認証チェックツールをすり抜けているという事実からも明らかです。
最新のフィッシング詐欺の手口に対抗し、遅れを取らないようにするための鍵は、侵害を想定して「決して信用せず、常に検証する」という考え方を採用することです。すべてのメールにゼロトラストセキュリティモデルを実装しなければなりません。フィッシングに強い多要素認証を実装すること、複数のフィッシング対策バリアでクラウドメールセキュリティを強化すること、そして従業員にセキュアなツールを装備させることはすべて、ゼロトラストの実現に欠かせない重要要素です。
プロセスやツールがうまく機能していない時は、問題の解決にさらなるリソース(人、時間、資金)を投入しがちです。しかし、事後措置を取るということは時すでに遅しということですから、これは間違った行動です。例えば、スパムフィルターは一時期はメールセキュリティの重点でしたが、フィッシング攻撃への事前対抗措置として必要なもののごく一部に過ぎません。
フィッシングの脅威をさまざまに分類することは、他のコンテキストでは有効ですが、問題に立ち向かう目的でフィッシングを総合的に見る場合は効果的ではありません。多くの業界のフィッシングレポートは、まるで100の異なる問題に取り組んで解決しているかのように細かく分けて報告しています。同じ脅威に関する議論が100通りもあれば、解決がとてつもない難事に思えることもあるでしょう。解決には包括的なアプローチが不可欠です。現に攻撃件数は増加しており、データを継ぎ合わせても解決につながらないことは証明済みです。セキュリティの意思決定者の90%が、フィッシングの脅威は種類が増え、範囲も拡大しているという見方で一致しており、デジタル環境を保護するための合理的で総合的な戦略が必要であることは明らかです。
サイバーセキュリティの世界では、セキュリティ強化を約束するソリューションが氾濫しています。しかし、どの組織も無縁ではないフィッシングという深刻な問題に効果的に対処しているものはほとんどありません。2022年だけを見ても、Cloudflareが検出したBEC脅威は2021年の2倍の140万件以上に上り、企業の71%がビジネスメール詐欺の未遂または実被害を経験しています。
このデータは、フィッシングが業界を超えて蔓延し、これまで投資してきたセキュリティがリンク1つのクリックで事実上瓦解していることを示しています。ユーザーは、ファイルをダウンロードするよりもリンクをクリックしがちです。これは、リンクを真正性の高いコミュニケーション形態として認識しているからです。脅威アクターはこの人間の弱点を繰り返し利用しており、悪性リンクは検出された脅威の35.6%を占める最頻出脅威カテゴリになっています。これらのリンクやファイルは、認証情報の窃取や、攻撃者がマルウェアやランサムウェアのインストール、データ窃取、その他のアクションを実行するリモートコード実行の端緒になりかねず、最終的には、1台のワークステーションの乗っ取りがネットワーク全体の侵害につながる可能性があります。
フィッシングが急増する中、ビジネスリーダーはデータポイントを基に解決策を講じる必要があります。それにより、フィッシング攻撃が成功した時に起こる侵害を見越した事前防御にリソースを適切に割り振ることができます。フィッシングがあらゆる規模の企業にとって大問題であることはデータからも明らかですが、フィッシング攻撃が取り返しのつかない被害をもたらすことを防ぐためのリソース投入方法については、的確な答えがあります。
デジタルエコシステムは常に進化しており、フィッシング攻撃の先手を打つには直接的かつ事前予防的なアプローチが必要です。企業は、Zero Trustセキュリティモデルを採用してメールをセキュアにし、メールその他のネットワークリソースに対する完全な、信頼されたアクセスをいかなるユーザーやデバイスにも認めない体制を作ることができます。さらに、複数のフィッシング対策をクラウドメールセキュリティに統合して、攻撃への露出リスクが高い領域を保護し、フィッシングに強いMFAセキュリティツールを実装することが できます。
技術スタックは組織文化の醸成と同様に重要です。大規模な組織では各チームがそれぞれ好みのツールを使用しているため、現行ツールの安全性を高めて従業員に歩み寄ることが潜在的フィッシング攻撃の予防につながります。そして最も重要なのが、咎めることをせず、「何か見たら通報する」透明性の高いアプローチを奨励することです。不審なアクティビティの報告から行動を起こすまでの迅速さが非常に重要だからです。
最新の技術的ソリューションを実装し、問題に正面から向き合い、データ駆動型のソリューションを活用することで、企業は応急処置的な解決策から脱却し、フィッシング攻撃から自社と自社のデータを幅広く保護することができます。このようなソリューションには部門横断的なアプローチが欠かせず、フィッシングの陰湿な脅威に対する強力な防御を構築するためには、技術的な対策と組織の意識高揚を合わせて実施する必要があります。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
フィッシングの最新動向について、詳しくは最新のフィッシング脅威レポートをご覧ください。
Oren Falkowitz — @orenfalkowitz
セキュリティオフィサー、Cloudflare
この記事では、以下のことがわかるようになります。
依然として、サイバー攻撃10件中9件はフィッシングが初期ベクトル
迷惑メッセージの89%がSPF、DKIM、DMARCをクリア
あらゆる組織のセキュリティ体制を強化する3つの重要行動
関連リソース: