サイバー攻撃を受けた経営幹部に話を伺うと、多くの方はまず内省的になって「なぜ」を追求しようとします。なぜ、脅威アクターは私、私の組織、この文化を攻撃したのか?その理由は理解するのは難しいというのが実情です。確かに、金銭的利益、知的財産の窃盗、企業スパイ、妨害破壊行為、名声の失墜、政治活動などの動機が存在することも事実です。ですが、なぜ私を?なぜ私たちを?
ほとんどのサイバー攻撃は、特に洗練された、高度なコンピューター科学や量子力学を利用するものではありません。彼らは、本物のように見えるか、感情を引き付ける能力に秀でているかもしれません。ですが実際には、サイバー攻撃は粗雑な組み立てラインの一部であり、あなたの組織は終わりのないシーケンスの最後の標的だったかもしれません。
サイバー攻撃の10件中9件は、被害の根本原因がフィッシング攻撃に関連していると報告されています。簡単に言えば、フィッシング攻撃とは、無意識のうちに被害につながるような行動をとらせようとする試 みです。このような攻撃は、構成が容易で、費用対効果が高く、効果的です。フィッシングキャンペーンを開始するために、攻撃者は、メールアドレスに紐付けられる人間の標的を必要とします。攻撃者はこれらのアドレスを入手し、データベースに読み込み、攻撃を送信し始めます。彼らの目標はクリックさせることです。
フィッシング攻撃は、標的と言うよりもボリュームに重きを置いた攻撃手法です。攻撃データベース内に登録されると、その脅威アクターや組織化されたグループによるフィッシングキャンペーンの絶え間ない標的となります。国家安全保障での私の経験と、他の国家、犯罪組織などに関する私のチームの調査により、脅威アクターがその活動を組み立てラインに発展させていることが分かっています。標的の選定、発射と実行、技術的な攻撃手法、標的に対する活動、分析、キャンペーン後の搾取までを、異なるチームが専門的に分担します。特に攻撃者がこの手法で成功を収めると、これらの組み立てラインを経時的に最適化するような取り組みはほとんど見られません。
Cloudforce Oneチームは、比較的単純なフィッシングキャンペーンが複数の組織に深刻な長期的損害を与える可能性について、広範な調査を実施しました。2016年の米国大統領選挙の翌日、政治組織を標的としたロシアのスパイグループ「RUS2」が仕掛けた攻撃キャンペーンを調査しました。
標的デー タベースを再現することで、フィッシング攻撃の標的には、現在の政府関係者だけではなく、元政府職員や政治関係者も含まれていることがわかりました。標的となった個人は、転職後も長い間、個人のメールアドレスを介してフィッシングメールを受信し続けていたのです。一部の個人は、2016年の攻撃時に10年近くデータベースに登録されており、今も標的にされ続けています。
興味深いのはここからです。
侵害された名前、電話番号、メールアドレスはフィッシングデータベースに無期限に保存されます。電子メールが宛先不明で返ってくるにせよ、受信者が引っかからないにせよ、攻撃者は自分の保持するリストに修正を加えません。フィッシング攻撃の標的になると、無期限に標的にされ続ける可能性があるのです。
企業や政府機関にとって、フィッシングデータベースに連絡先情報が保持されることは、さらなる危険の層となります。標的となった個人が転職すると、その個人は新しい組織を危険にさらし、新しい組織のネットワークに新たなベクトルを開いてしまいます。
フィッシング攻撃の単純性と有効性を考慮すると、サイバー攻撃者は、この戦術が効果的であるため、当面この戦術を使用し続けることでしょう。彼らの試みを阻止するためにできることはあまりありません。ですが、それが成功しないように防御策を講じることは可能です。
このリスクは常に存在し、すべての個人が標的候補となり得ると仮定しなければなりません。
過去20年間、米国国家安全保障機関とサイバー軍で働き、フィッシング攻撃を防ぐためのテクノロジーを構築してきた私は、フィッシングスキームの影響を軽減する最善の方法は、Zero Trustセキュリティ戦略を採用することであることを発見しました。従来のITネットワークセキュリティは、ネットワーク内にあれば、すべての人とすべてのものを信頼します。つまり、一度アクセス権を得た個人またはデバイスは、デフォルトで信頼されるというものです。
Zero Trustでは誰も、何も信頼しません。ネットワーク内のすべてのアプリや他のリソースに、何の制限もなく、信頼できるアクセス権を持つ人は存在しません。
Zero Trustの最良のアプローチは、マルチレイヤーであることです。例えば、防御の第一線として、ユーザーがテキストや電子メールの悪意のあるリンクをクリックする前に、フィッシングインフラストラクチャを専制的に探し、キャンペーンをブロックすることができます。また、攻撃者がユーザー名とパスワードへのアクセスを得ることができた場合でも、ネットワークを保護するために、ハードウェアベースのセキュリティを備えた多要素認証(MFA)を使用することができます。最小権限の原則を適用すれば、MFA制御を通過したハッカーが、限られたアプリケーションにしかアクセスできないようにすることができます。また、マイクロセグメンテーションでネットワークをパーティションに分割して、侵害を早期に封じ込めることもできます。
Cloudflareでは、昨年、マルチレイヤーのZero Trustのアプローチの一環として、ハードウェアセキュリティキーを備えたMFAを使用することでフィッシング攻撃を阻止しました。この攻撃は、多くの従業員がテキストメッセージを受信したことから始まり、クレデンシャルハーベスティング用に設計された本物のOktaのログインページを模倣したページに誘導されました。攻撃者は、盗んだ認証情報とタイムベースドワンタイムパスワード(TOTP)コードを使用してCloudflareのシステムにログインしようとしました。この攻撃では、従業員が認証プロセスに参加することが必要となります。攻撃者にとっては残念なことに、Cloudflareは既にTOTPからハードキーに移行していました。
もしハードキーが導入されていなければ、他のセキュリティ対策がこの攻撃が目的に到達するのを防ぐことができたでしょうが、幸いなことに、攻撃はそこまで到達しませんでした。当社のセキュリティインシデント対応チームは、偽のログインページに使用されるドメインへのアクセスを迅速に遮断し、その後、当社のZero Trustネットワークアクセスサービス を使用して、アクティブな侵害性のあるセッションを強制終了しました。もし攻撃者が何らかの方法で悪意のあるソフトウェアをインストールできる時点に到達していたとしても、私たちが使用するエンドポイントセキュリティがインストールを停止したでしょう。このようなマルチレイヤーの戦略は、たとえ攻撃の1つの側面が成功しても、攻撃自体が実質的なダメージを与えないようにするのに役立ちます。
私たちは、サイバー攻撃の脅威に常にさらされていますが、実際にはその手法はあまり進化していません。
攻撃が成功するのをどのように阻止できるでしょうか?
まず、強力なフィッシング対策を施しましょう。すべてのMFAコントロールが同じレベルの有効性を持っているわけではないため、フィッシング攻撃に強いMFAを採用し、IDとコンテキスト中心のポリシーを用いて選択的な強制を実装するようにしましょう。すべてのユーザー、すべてのアプリケーション、さらにはレガシーシステムや非Webシステムに対して、あらゆるところで強力な認証を実施しましょう。そして最後に、誰もが疑いの目を持ち、疑わしい行動を早期に、そして頻繁に報告する、非難のない文化を確立することによって、全員が「チームサイバー」に参加するようにしましょう。
フィッシング攻撃を防ぐためにできることはあまり多くはありませんが、被害を防ぐためにできることはたくさんあり ます。Zero Trustアプローチを採用することで、次回フィッシング攻撃の組み立てラインが自分のメールアドレス宛にメールを大量に送信した際に、被害が生じないようにすることができます。マルチレイヤーのCloudflare Zero Trustプラットフォームの詳細をご覧ください。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
Oren Falkowitz — @orenfalkowitz
セキュリティオフィサー、Cloudflare
この記事を読めば、以下が理解できます。
個人情報が入手されると、攻撃者のデータベースに無期限に保存されます
フィッシング攻撃は粗雑な組み立てラインの一部です
フィッシング攻撃を防ぐのにできることは少なく、攻撃に先制するためにすることは膨大です