クラウドネイティブを学ぼう!

フィッシングとは?

SHARE:

フィッシングは、攻撃者がソーシャルエンジニアリングを用いた一連の手法を用いて、被害者を操作または騙してマルウェアをダウンロードまたは実行させたり、機密情報を提供させたり、高い権限を持つサイトへのアクセスを許可させたりする攻撃の一種です。

Source: pixabay.com

通常、攻撃者は被害者が知っている本人、団体、または組織を装い、メール、電話、テキストメッセージなどの「公式な連絡」で被害者に連絡し、「深刻な事態が起きたので、すぐに対応してください」と説得します。


この記事では、フィッシングとソーシャルエンジニアリング、つまり「堅固な要塞の鍵を手に入れるための巧妙な手法」について深く掘り下げていきます。高レベルな視点からみると、これらの手法は組織内のヒューマンリスクを悪用しています。

フィッシングとソーシャルエンジニアリング

攻撃者は、フィッシング攻撃を行うためにソーシャルエンジニアリングを利用しますが、それは一体どういうことなのでしょうか?

フィッシングとソーシャルエンジニアリングとは、個人情報や重要なセキュリティ情報を共有させるよう人々を騙す行為を指します。

この種の攻撃はさまざまであり、ハッカーはさまざまな手法を組み合わせて悪意のある目的を達成します。ハッカーは、経営幹部、開発者、さらにはセキュリティ担当者までもが、この手口に騙されてきました。ここでは、これらの攻撃について大まかに定義しておきましょう。

フィッシング

フィッシング(Phishing)は「フィッシング」と同じ発音で、その活動と多くの共通点があります。釣り人は、魚を引き寄せるために餌やルアーを使用し、最終的に魚が針にかかり捕獲されます。魚は疑うかもしれませんが、一度餌に食いついたら手遅れです。


同様に、フィッシングでは、悪意のある攻撃者が本物そっくりのメッセージを作成し、受信者にリンクをクリックさせたり、個人情報を入力させたりします。フィッシングメッセージには、マルウェアを含むリンクを本物そっくりのリンクとして偽装したものや、ユーザーを本物そっくりのウェブサイトに誘導し、ユーザーに資格情報を入力させるリンクが含まれる場合があります。

ソーシャルエンジニアリング

ソーシャル・エンジニアリングは、従来のフィッシング攻撃の手法を超え、攻撃者と被害者が直接コミュニケーションをとることを含みます。 攻撃者は被害者を心理的に操り、機密情報を提供させたり、悪意のある行動を代行させたりします。

ハッカーが企業のヘルプデスクに電話をかけ、正当なユーザーがパスワードを忘れてアカウントからロックアウトされたと主張します。 疑うことを知らないヘルプデスクの技術者は、通常の手順に従ってユーザーのパスワードをリセットし、攻撃者が重要なシステムに即座にアクセスできるようにするのです。

フィッシングとクラウド・コンピューティング

クラウドコンピューティングの登場により、企業が低コストでオンラインプレゼンスを確立する機会が飛躍的に拡大しました。マネージドプラットフォームやサービスは、企業が高度な技術を持つ人材に大きく依存する必要性をさらに減らします。しかし、こうした機会と機能の拡大は、企業への攻撃対象領域も拡大します。


クラウドを利用する組織は、多くのシステムを単一のクラウドアカウント内に共存させていることがよくあります。攻撃者がアカウントの一部へのアクセス権を取得すると、他のシステムに迅速にアクセスしたり、収集した情報を用いて追加の標的型攻撃を実施したりすることが可能です。攻撃対象領域はクラウドまたはプラットフォームプロバイダーにも及ぶ可能性があります。ハッカーがクラウドまたはプラットフォームプロバイダーを侵害した場合、貴社のシステムとプロバイダーの他の顧客は即座にリスクにさらされます。

フィッシングモデル

フィッシング攻撃は、ハッカーが技術を磨き、組織に関する情報をより多く収集するにつれて、さまざまな形をとります。基本的なフィッシングキャンペーンでは、粗雑に作成されたメッセージとマルウェアサイトへのリンクを、多数のメールアドレスにスパムメールとして送信します。この手法では一定の成果が得られる場合もありますが、ほとんどの人はこのようなメールは避けるようになっています。組織にとってより大きなリスクとなる、より効果的なフィッシングの手法について見ていきましょう。

スピアフィッシング

スピアフィッシング攻撃では、標的となる人物に関する情報(氏名、所在地、職務内容、組織内の役職など)を収集します。これらの情報は、フィッシングメッセージに含めることで、そのメッセージをより本物らしく見せます。

Hi Steve,

This is the Acme Co. corporate help desk. Your manager, Karen Smith, asked us to reach out and validate your credentials for the new payroll system. Please click the link below and enter your username and password to ensure it works after the upgrade.

http://payroll.acme.com/login

Acme Corp Help Desk

ホエールフィッシング

ホエールフィッシングは、高位の経営幹部を標的としたスピアフィッシング攻撃です。攻撃は、その役職、情報へのアクセス権限、組織を保護したいという意欲に基づいて行われます。これらの攻撃は通常、入念に調査されており、法的措置や顧客の苦情に関する要請を装い、経営幹部に迅速な対応を促すことで、企業への損害を防止するよう迫る形式を取ることがあります。

ヴィッシング

メールを悪用したフィッシング攻撃が蔓延する中、ほとんどのユーザーは不審なメールに注意し、十分な警戒を払う必要があります。ボイスフィッシング(またはヴィッシング)攻撃は、コールセンターや自動音声メッセージを利用して、ユーザーのコンピュータやアカウントが侵害されたと偽り、マルウェアの削除やアカウントの保護を指示します。残念ながら、これらの行動は逆に安全なアカウントを侵害する結果となります。例えば、銀行、クレジットカード会社、またはマイクロソフトのようなサービスプロバイダーを装ったヴィッシング電話が挙げられます。

スミッシング

高性能スマートフォンの普及に伴い、SMSフィッシング(またはスミッシング)は、ハッカーが被害者から反応を引き出すための非常に効果的な手法として確立されています。これは、単純なテキストメッセージに簡単な要求とリンクを添付し、警戒心の薄い人や好奇心旺盛な人を標的とする手法です。例えば、配送遅延の通知、当選通知、または銀行口座の不正アクセスに関するメッセージを受け取る可能性があります。リンクをクリックすると、電話番号が確認され、マルウェアがインストールされる可能性や、個人情報やログイン資格情報を収集するためのサイトに誘導される可能性があります。

フィッシングかスパムか?

続ける前に、スパムとフィッシングキャンペーンの違いについて触れておきましょう。スパムメールはメールの時代が始まって以来存在しており、煩わしいものの、本質的なリスクは伴いません。一方、フィッシングメールはユーザーを欺き、個人情報を盗むか、デジタルリソースを侵害することを目的としています。どちらの場合も望ましいものではありませんが、従業員がスパムとフィッシングの違いを理解できるようにトレーニングすることで、彼らは自身を保護する知識を身につけ、フィッシング攻撃からの脅威を軽減する必要があるセキュリティチームへの負担を軽減できます。

貴社をフィッシング攻撃から守る

残念ながら、組織がフィッシングやソーシャルエンジニアリングの脅威から 100% 保護されるという保証はありません。ただし、ユーザーへの定期的な教育を徹底し(ユーザーに注意すべき点を理解させる)、厳格な監査プロセスを導入することで、リスクを大幅に軽減することは可能です。

従業員教育および研修

ユーザーがフィッシング攻撃に関連する脅威を理解し、注意すべき点を認識することで、不審なメールに対して警戒心を高め、攻撃の被害に遭う可能性よりも、潜在的な攻撃を報告する傾向が強まります。すべてのユーザーを対象に、不審なメールの見分け方やセキュリティチームへの報告方法について、理解を深める定期的なトレーニング計画を立ててください。このトレーニングでは、以下のような警告の兆候や対策について取り上げる必要があります。

  • 潜在的な脅威の特定
    • ユーザー自らがリクエストしたものですか?
    • メールに文法やスペルの誤りはありませんか?
    • メールは、感情的な反応を引き起こして即座の行動を促すような内容ではありませんか?
  • 保護
    • 個人情報または認証情報をメールに返信しないでください。
    • 埋め込まれたリンクはクリックしないでください。公式ウェブサイトにアクセスして、その内容を確認してください。
    • 送信者が不明なメールは開かないでください。
    • フィッシングの疑いがある場合は、セキュリティチームまたはメールを送信した「会社」に報告してください。

セキュリティ監査

組織が実施すべき重要かつ積極的な対策のひとつは、メールなどのコミュニケーションプラットフォームでのセキュリティ監査を有効にすることです。包括的なセキュリティ監査ソリューションは、受信メールをスキャンして以下の項目を検出しなければなりません。

  • 不審なキーワードやフレーズ
  • クロスサイトスクリプティングやスクリプト攻撃などの従来の攻撃手法
  • 不一致のリンクや、既知のマルウェアや悪意のあるサイトへのリンク

堅牢なセキュリティシステムは、ユーザーが不審なメールを報告する簡単なメカニズムも提供し、これらのメールは企業レベルで隔離またはブロックできます。さらに、多くのソリューションはスパムやその他の不要なメールからも保護し、従業員の生産性を維持しつつ、重要なシステムの整合性を保護します。

脅威検知対応

ユーザーの教育を徹底し、信頼性の高いセキュリティ監査システムを導入していると仮定します。その場合、組織を標的としたフィッシング攻撃の大部分は回避できますが、100% 効果的なセキュリティシステムはありません。以下は、フィッシングやソーシャルエンジニアリングからの保護において、システムを常に最新の状態に保ち、できれば一歩先を行くようにするための追加の対策です。

フィッシングメールの特定

誰かが新しいフィッシングの疑いのある行為を発見した場合は、その内容を確認し、既存のセキュリティインフラを迂回できた原因を突き止めてください。これらの脅威を、ユーザーへの教育を改善し、セキュリティシステムの調整や設定を最適化する機会として活用できます。

フィッシングの疑いのある行為の報告

ユーザーがフィッシングキャンペーンの潜在的な影響を理解し、注意すべき点を把握していれば、攻撃の兆候を早期に発見し、報告する可能性が高まります。報告プロセスをできるだけ簡素化することが重要です。特に、メールアプリケーションにボタンを設置し、そのボタンをクリックするだけでメールがセキュリティチームに自動的に転送され、システム内で類似のメールを自動的に検出・隔離し、チームが脅威を評価・対応するまで保持する機能を導入できる場合は、その効果はさらに高まります。

フィッシングの今後の動向

デジタルエコノミーでは、情報とアクセスは最も重要な要素です。その価値を考えると、ハッカーは今後も進化し、ユーザーを悪用してアクセス権を取得するための新しい革新的な手法を見出していくことが予想されます。


機械学習や人工知能が、組織内のデータの力を引き出すことを可能にするのと同じように、これらのツールは、ハッカーがユーザーに対して非常にダイナミックで標的を絞ったフィッシングキャンペーンを実施することを可能にします。
ハッカーは、ユーザーを操作し悪用するためのアプローチを磨き続け、異なる通信プロトコルを実験し続けるでしょう。現在導入されているシステムは現在の攻撃に対して有効であるかもしれませんが、これらのシステムを定期的に見直し、進化させ続ける必要があります。システムセキュリティとデータ保護の戦いにおいて、私たちは共通の敵を抱えています——私たちのシステムを悪用し攻撃する者たちです。


テクノロジーの分野を横断するセキュリティ専門家と協力し、連携することで、悪意のある者たちの一歩先を行くことができます。