ESET/サイバーセキュリティ情報局

企業・組織を狙うフィッシング攻撃が増加。手口と対策を解説

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「企業・組織を狙うフィッシング攻撃とは?求められる対策の重要性」を再編集したものです。

 サイバー攻撃の攻防が激化するのに伴い、その攻撃手法も巧妙化の一途を辿っている。その中で、企業・組織をターゲットにしたフィッシング攻撃が規模を問わず増加している。攻撃者はなぜ、企業・組織をフィッシングで狙うのか。この記事ではその要因を考察しつつ、こうした攻撃手法にどのような対策を講じるべきかを解説する。

企業・組織に迫るサイバー攻撃の数々

 企業・組織を狙うサイバー攻撃の検出数は依然として高い水準にある。サイバー攻撃が企業・組織をターゲットにするのにはいくつか理由が考えられるが、保有する金銭的価値の高い情報を狙うだけでなく、社会的インパクトを与えようとする動機も少なからずある。近年、知られている攻撃手法としては、ランサムウェア攻撃が代表例として知られる。

 ランサムウェアに感染すると、パソコン内のデータが不正に暗号化されてしまう。そして、ユーザーのモニターに警告画面が表示され、データの復号のためとして身代金を要求される。このように、データを人質として脅して金銭をせしめることからこの名称となった。攻撃手法はより巧妙化しており、ダブルエクストーション、トリプルエクストーションといった手の込んだものも確認されている。

 最近はデータを窃取するのみで暗号化せず、一般公開を回避するためとして金銭を要求する「ノーウェアランサム」と呼ばれる手法も出てきている。また、ランサムウェア以外にも、企業を狙う攻撃としてBEC(ビジネスメール詐欺)のような金銭や情報の詐取を狙う攻撃に加え、DDoS攻撃などを用いてサービス停止に追い込むような手口も知られている。今後もこれまで以上に企業・組織を狙った攻撃が継続していくことが推測されている。

企業・組織を狙うフィッシング攻撃とは

 先述のような攻撃の糸口を掴むべく、企業・組織を狙うフィッシング攻撃が多く確認されている。近年、サイバー攻撃者は短期間で一度の身代金を得ることを目的にするのではなく、成果の最大化を狙うための「仕込み」を行った上で攻撃を仕掛けるようになってきている。この仕込み段階でフィッシング攻撃の手法が用いられるようになっているのだ。具体的に、以下のようなフィッシング攻撃の手法が挙げられる。

・ラテラルフィッシング
 はじめに、フィッシングメールやマルウェア感染などで従業員のメールアドレスやパスワードなどのクレデンシャル情報を詐取する。その従業員情報をもとに、メールアカウントを乗っ取り、正規のユーザーを装って組織内外のターゲットへ攻撃を仕掛ける手法。乗っ取り後、横展開(ラテラル)することからこの名称が付けられた。

・スピアフィッシング
 攻撃のターゲットを絞り込み、ターゲットの情報を事前に調べ上げ普段からやり取りをしている人になりすまして攻撃を試みる。槍(スピア)を突き刺すように相手へ狙いを定めるさまからこう呼ばれる。直接的にマルウェアを送りつけるだけでなく、相手とのコミュニケーションを通して重要情報の詐取を試みる場合もある。

 攻撃者はこうした手法を用いて、時間をかけて下準備を進めていく。メールだけでなくSNSのDM、電話などを用いたソーシャル・エンジニアリングと呼ばれる手法も組み合わせる場合がある。近年のAIの急速な進化もあり、ディープフェイク・ボイスと呼ばれる声色を偽装するような攻撃手法も登場してきており、今後もより高度かつ巧妙な手口が用い

企業・組織をターゲットとするPhaaS

 サブスクリプション形式で攻撃ツールを利用できる、MaaS(Malware as a Service)、RaaS(Ransomware as a Service)のように、フィッシングにおいてもPhaaS(Phising as a Service)と呼ばれる攻撃ツールの提供サービスも登場している。PhaaSを利用することで、フィッシング詐欺で必要な詐欺サイトの立ち上げ、詐欺メールの送信を効率的に行うといったことが容易となる。

 これらサービスはダークウェブ経由で取引されており、MaaS、RaaSなどと同様に、専門的な知識を持たずとも手早く利用可能な簡便性が特徴だ。攻撃者はこうしたPhaaSを用いて、多くの企業・組織で利用されるMicrosoftやGoogleアカウント、あるいはVPNやクラウドサービスのクレデンシャル情報の窃取を狙うのだ。今後も、PhaaSを用いた企業・法人をターゲットとした攻撃が続くものと推察される。

企業・組織を狙うフィッシング攻撃への対策

 巧妙化し続けるフィッシングの手法に対して、以下のような対策を講じることで多層的なセキュリティ強化が求められている。

1)従業員へのセキュリティ教育
 セキュリティポリシーやルールを事前に策定した上で、定期的な教育機会の提供を通じて、セキュリティ知識のインプットだけでなく、常に注意を払うべくセキュリティ意識を高める。具体的には、フィッシングメールに対するセキュリティリテラシーを高めるための教育も求められる。例えば、送付元や件名、本文の内容に注意すること、添付ファイルの開封やリンクのクリックを行わないといったメールセキュリティの基本が従業員の業務に浸透するような意識付けが必要だ。

2)標的型攻撃メール訓練の実施
 攻撃の侵入口を作り出すために攻撃者は力を注いでいる。その結果、年々標的型攻撃メールの手法も巧妙化している。そうした手法を見破るために標的型攻撃メール訓練は有用だ。事前のアナウンスを行わず突発的に、従業員に対して攻撃メールを装った疑似的なメールを送付。こうしたメールへの対応を通して、注意すべき点や適切な対策を周知・徹底する。

3)メール本文、添付ファイルのチェック
 標的型攻撃メールは、従来からの取引先や関係者になりすますことも多い。そのため、日ごろからメールの件名や本文、送付元のメールアドレス、添付ファイルの内容をチェックすることが重要となる。仮にURLのリンク先を閲覧することが必要な場合、そのリンク先が正規のものであるかを確認してからクリックするといいだろう。

4)脆弱性の解消
 攻撃者は未知、既知を問わず通信機器やネットワーク、端末などの脆弱性を悪用しようと試みる。そのため、脆弱性発覚後に緊急配布されるパッチなどは速やかな適用が必要だ。

5)多要素認証の導入
 仮に攻撃者によってクレデンシャル情報を盗まれた場合、事前に多要素認証を導入しておけば不正アクセスの危険性を抑えられる。

6)メールセキュリティソリューションの導入
 標的型攻撃という手口を知っていた場合でも、普段からやり取りしている、取引先に偽装したメールを送りつけられれば、その判別は困難を極める。先述の標的型攻撃メール訓練を実施していても、実際の標的型攻撃メールの被害に遭遇する可能性があり、従業員への注意喚起だけでは限界があるのも事実だ。

 このような前提を踏まえると、何かしらセキュリティソリューションの利用は欠かせなくなってきている。例えば、GUARDIANWALL Inbound Security for Microsoft 365では、以下のような機能を備え、企業・組織を狙うフィッシング攻撃などの外部からの脅威に対抗する。

・スパムメール対策機能
 メール本文を検査し、ビジネス詐欺やフィッシングなどのスパムメールの可能性を判別する。この機能でスパムメールと判別された場合、件名への注意喚起を促すタグ挿入や迷惑メールフォルダーへ隔離など、予め設定された処理が自動で行われる。日々大量に送りつけられるスパムメールを効率的に排除することが可能だ。

・不正プログラム検索機能
 メールに添付されたファイルやクラウドストレージ上にアップロードされたファイルを検査し、マルウェアの疑いがあるファイルを削除、隔離する。従来型のパターンマッチングとヒューリスティック分析に加え、AIを用いた機械学習を組み合わせて検査することで、未知の脅威も含めて精度の高い検査が可能となっている。

・ファイルブロック機能
 何かしら正当な理由を訴えて、メールに添付したファイルを実行させようとする手法はマルウェア攻撃の常套手段だ。このファイルブロック機能では、事前に定めた「.exe」や「.bin」といった実行ファイルの代表格である拡張子を持つ特定ファイルをブロックする。また、パスワード付きZIPファイルを用いた攻撃もあるため、こうしたファイルを一律にブロックすることで、被害を未然に防ぐ。

・Webレピュテーション機能
 メール本文や添付ファイル内に記載されたURLをクラウド上の脅威情報データベースと照合することで、危険な可能性があるURLを判別し、当該メールの削除や隔離を行う。巧妙化する標的型攻撃メールの手法に対して有効な機能だ。

・仮想アナライザ機能
 この機能はサンドボックスとも呼ばれ、仮想環境でファイルを実行してその挙動を確認することで、未知のマルウェアを検出することが可能となる。

 GUARDIANWALL Inbound Security for Microsoft 365は、APIでMicrosoft 365と連携するためメール経路を変更することなく強固なメールセキュリティを構築できる。技術革新によりマルウェアの亜種が生み出されるペースは早まっており、日々大量に生み出される亜種への対策やゼロデイ攻撃への対策が課題となっている。従来のパターンマッチングに加え、機械学習やサンドボックス機能で補完することで多層的に脅威を排除するという考えだ。

 高度化するサイバー攻撃において、攻撃は複数のプロセスを経て実行されるようになっている。そして、その端緒として、フィッシング攻撃が利用されるようになっている。サイバー攻撃の被害を軽減するためにも、フィッシング攻撃対策として従業員へのセキュリティ教育を通した意識醸成はもちろんのこと、高度な攻撃手法に対抗するソリューションの活用も並行して講じる必要性があるだろう。

■関連サイト

キヤノンMJ トップへ