フィッシング攻撃について

フィッシング攻撃とは、信頼できる情報源を装ったサイバー犯罪者が、一般的には電子メールを通じて魅力的な依頼やオファーをする詐欺を指します。攻撃者は、虚偽の理由で被害者を騙し、個人情報 (多くの場合、価値の高い認証情報) を入手します。サイバー犯罪者がこのような認証情報を入手すると、次に実行されるのがビジネスメール詐欺やアカウント乗っ取りです。従業員のアカウントが乗っ取られてしまうと、その人物を特定して阻止することは困難であるため、サイバー犯罪者は企業に非常に大きな被害をもたらすことができます。

フィッシング攻撃は、IT 環境にマルウェアやランサムウェアを侵入させる最も一般的な手段のひとつです。実際、現在ではマルウェアの 66% が悪意のあるメールの添付ファイルを介して配信されています。フィッシングがこれほどまで蔓延している理由は、それが効果的な手段であるからです。IT 専門家の 41% が、自社の環境でフィッシング攻撃を日常的に受けていると報告しています。従業員やエンドユーザーがメールでコミュニケーションを行っている限り、フィッシング攻撃のリスクにさらされます。

フィッシング攻撃の手口とは?

サイバー犯罪者は、電子メール、ソーシャルメディア、テキストメッセージなどを通じてフィッシング攻撃を実行します。ソーシャルエンジニアリングが行われることもあります。最も一般的な手口は、フィッシングメールの送り付けです。メールには魅力的なメッセージと、一見本物のように見える悪意のある Web サイトにユーザーを誘導するリンクが含まれています。騙されたユーザーは、クレジットカード番号やパスワードなどの個人情報 (PII) を共有してしまいます。この個人情報は、銀行口座やメールアカウントなどのアカウント侵害に使用されます。ここから、攻撃者はクレジットカードの不正利用など、個人的利益のためにこれらの認証情報を悪用したり、企業の電子メールにランサムウェアを注入して IT 環境にアクセスしたりする (「スピアフィッシング攻撃」) ことができます。

一般的に、フィッシング攻撃を実行するのに高度な技術は必要ありません。サービスとしてのフィッシング (PhaaS) を利用すれば、数回クリックしてクレジットカード決済するだけで、フィッシングキャンペーンを開始できます。

フィッシング攻撃を行うサイバー犯罪者にとって重要なのは、攻撃の件数と機会です。攻撃者は、セキュリティ防御の弱点を突くまで、個人や組織に対してスパムメールや高度なソーシャルエンジニアリング攻撃を執拗に仕掛けてきます。残念ながら、エンドユーザーである従業員は格好の標的であり、セキュリティ上の弱点になる存在です。

スピアフィッシングとは?

米国の National Counterintelligence and Security Center (NCSC) は、スピアフィッシングを「特定の個人またはグループを標的とし、時として時事問題や財務書類など、標的の関心事項である情報を含むフィッシングキャンペーンの一種」と定義しています。高度なスピアフィッシング攻撃は、企業に 1 インシデントあたり平均 14 万ドルの損害を与えています。スピアフィッシングは、財務データ、顧客情報、知的財産、私的通信など、企業の重要情報を標的とするため、サイバー犯罪者にとっては大きなビジネスです。

スピアフィッシングが一般的なフィッシング攻撃や消費者向けフィッシング攻撃と異なるのは、フィッシングの被害者が最終的な標的ではないという点です。フィッシングの被害者は、組織のより広範なシステムにアクセスするための足がかりに過ぎません。

フィッシング攻撃の目的とは?

攻撃者は、金銭やデータ、あるいはその両方を盗むためにフィッシング詐欺を仕掛けます。ビジネスメール詐欺やアカウント乗っ取りによってアクセス権を獲得した攻撃者が、マルウェアやランサムウェアを標的の環境に注入することもあります。フィッシングは、組織がランサムウェア攻撃を受ける主な原因のひとつとなっています。身代金の支払いに同意しない限り、ビジネスが完全に停止させられる可能性があるランサムウェアは、特に危険です。

フィッシング攻撃の検出は可能か?

フィッシング攻撃の手口は常に進化していますが、従業員がフィッシング活動の兆候を見つけることは可能です。フィッシング攻撃の標的になっていることを示す一般的な兆候には、以下のようなものがあります。

  • 普段とは異なる言葉遣いやメールの内容。一見すると送信者の名前、会社名、メールアドレスが見覚えがあるものに見えますが、メールを読み進めていくと挨拶文や言葉遣いが「不自然」です。メールのトーンが緊急性を要するものだったり、脅迫的なものだったりする場合もあります。緊急事態がメールやテキストで起こることはありません。
  • 個人情報に対する要望。たとえば、パスワードを更新するよう指示するリンクや、銀行口座情報の提供を求めるものなどがあります。件名に「お客様の情報を確認してください」などと書かれているメールは、疑ってください。
  • 不要なオファーや懸賞の当選。「おめでとうございます!当選しました」のような出だしのメールは、直ちに疑いを抱くべきです。
  • URL が通常とは異なる Web サイト。不審な Web サイトだと感じたら、まず最初にすべきことのひとつが、URL 全体の確認です。スペルミスがあったり、ドメイン名がおかしくないかをチェックします。被害者の多くは、正規のサイトのように見えても、実際には偽サイトにリダイレクトされるメールやテキストメッセージ内のリンクをクリックしています。

フィッシングのシミュレーション攻撃やフィッシング対策教育プログラムを通じて、上記のような兆候を従業員が発見できるようにします。これらの対策は、エンドユーザーのトレーニングに役立ち、悪意のあるリンクをクリックしてサイバー攻撃者を招き入れてしまうリスクを軽減します。

ビジネスメール詐欺 (BEC) とは?

ビジネスメール詐欺 (BEC) は、偽装メールを使用して、請求書の支払い、パスワードの共有など、特定の行動を被害者にさせるフィッシング攻撃の一種です。偽装メールには、その企業で実際に働く従業員の氏名やメールアドレスが使用されています。基本的に、サイバー犯罪者は、被害者がよく知る人物になりすまします。成功すれば、不正に金銭を手にしたり、機密情報にアクセスし、悪用したりすることができます。

アカウント乗っ取りとは?

アカウント乗っ取りは、ビジネスメール詐欺と関連して行われる行為で、企業のメールアカウントの認証情報が詐欺的手口によって標的にされます。この種のフィッシング攻撃では、知人や信頼する人物を装ったメール、電話、またはテキストメッセージが使用されることがあります。目的は、被害者のメール認証情報を入手した後、より価値のあるアカウントへと横展開することです。たとえば、他の従業員 (CEO、CFO など) のメールアカウントや、ビジネスクリティカルアプリケーション/システムへのアクセス権などの「王国への鍵」が狙われます。アカウント乗っ取りが成功すると、攻撃者は正規ユーザーとして表示されるため、セキュリティ担当者が不正行為を発見することは困難です。

アカウント乗っ取りを実行するサイバー犯罪者は、個人や企業になりすます、より巧妙で多層的な攻撃を用いることがあります。たとえば、ボイスフィッシング (voice phising、略して「ビッシング」) 攻撃では、コールセンター立ち上げのために音声システムをレンタルしている実際の人物が企業の正規担当者を装い、電話で被害者を騙します。

ランサムウェアとは?また、フィッシングとの関係は?

フィッシングは、ランサムウェアを配信するための最も一般的なメカニズムです。ランサムウェアが泥棒だとすると、フィッシングは泥棒をあなたの家に連れてくる車のようなものです。ランサムウェアは、データを暗号化したり、システムをロックダウンして、データ復元のために被害者が身代金を支払うまでデータを人質に取るマルウェアです。 

自社はフィッシング攻撃のリスクにさらされているか?

従業員やエンドユーザーがいる組織は、リスクにさらされています。だからこそ、フィッシングは経営幹部にとって重要な問題です。強固なサイバーセキュリティ対策とサイバーセキュリティツールはフィッシングの阻止とリスクの大幅な軽減に役立ちますが、それでもフィッシング攻撃が成功する可能性は常にあります。

従業員が悪意のあるリンクをクリックしないようにするにはどうすればよいでしょうか?

まず、サイバー犯罪者によって送信されたフィッシングメールの 30% が標的によって開封されていることを知っておくべきです。フィッシング対策において最も脆弱な部分がユーザーです。エンドユーザーがフィッシングメールをクリックするまでの時間は、平均 16 分です。フィッシング対策トレーニングに投資することが、従業員が罠にかからないようにするための最善の方法のひとつです。継続的にトレーニングすることで、エンドユーザーはフィッシングメールを見分けられるようになります。 

セキュリティ意識とフィッシングシミュレーションのトレーニングを実施することで、エンドユーザーは執拗なフィッシング攻撃に対抗する最前線の防御者となります。適切なトレーニングプログラムを使用すれば、フィッシングシミュレーションはわずか 4 回のセッションで従業員の被害は 31% 削減されます。効果的なフィッシングシミュレーションには、3 つの重要な段階があります。

1.テスト:実際の攻撃を基に模擬フィッシングメールをユーザーに送信する。

2.トレーニング:シミュレーションにどう反応したかに基づいてユーザーを指導し、次回は本物のフィッシングメールを見分けられるようにする。

3.測定:最初の 2 つのステップと指導付きトレーニングを必要に応じて繰り返すことで、進歩と改善を追跡する。

フィッシング攻撃の検出と阻止において、MDR (Managed Detection and Response) はどのように役立つのか?

フィッシング攻撃が増加し、巧妙化するにつれ、多くの組織が独自にこの脅威と戦うことはもはや不可能だと認識しています。攻撃の件数と緊急対応の必要性は、社内では対処しきれません。フィッシング対策、フィッシングシミュレーション訓練、継続的な検出・対応を行うための専任チームを社内に設けるには、コストとリソースが膨大にかかります。

そこで、フィッシング攻撃を迅速かつ効果的に検出して阻止するには、MDR が最も効果的なアプローチとなります。マネージドエンドポイントプロテクション、ビジネスメールセキュリティ、継続的なフィッシングシミュレーション訓練により、これを実現します。サードパーティのマネージドセキュリティサービスプロバイダーと連携することで、経験豊富なセキュリティ専門家のチームと世界トップクラスのセキュリティオペレーションセンターのメリットを享受でき、フィッシングから組織を守ることができます。

MDR は、サービスとしてのサイバーセキュリティ (CSaaS) です。優れた MDR サービスプロバイダーは、以下を提供します。

ソフォスに今すぐお問い合わせください。MDR がフィッシング攻撃に対する防御を強化する方法を詳しくご説明します。

MDR の専門家にご相談ください

 

関連するセキュリティトピック: スピアフィッシングとは?

サイバーセキュリティニュースを確認