トレンド情報

セキュリティ最前線レポート2018|世界を席巻するフィッシング被害の対策とは?

世界中のセキュリティ専門家、ハッカーが集まるカンファレンス「Black Hat USA」からお送りするセキュリティ最前線レポートの連載第3回目です。今回は展示会場内を席巻していたトレンドのひとつ、「フィッシング」に関する話題です。
※本記事は、2018年8月30日に公開された記事を一部再編集しております。

今更感の漂うフィッシングの現実

前回は、セキュリティオーケストレーション&オートメーション」(SOA)について取り上げました。これに並ぶ、キーワードが「フィッシング」。多くの企業(ベンダー)が「Phishing」(フィッシング)というキーワードを掲げて製品やソリューションをアピールしていました。

フィッシングとは、メールやウェブサイトなどを介して行われる詐欺行為のことです。
メールを受け取った人やウェブサイトを訪れた人に対して、信頼できる発信元やサイトを装うことで、個人情報を入力させたり、マルウェアに感染させたり、特定の銀行口座への振り込みを行わせたりするなどの行為のことを指します。

根本的な技術的解決策のない脅威

日本では10年以上も前の2005年にフィッシング対策協議会が設立され、対策検討や啓発が行われています。そのため、フィッシングと聞いて、今更と思われる方もいるでしょう。しかし、Business Email Compromise(BEC、ビジネスメール詐欺)をはじめとして、特定の組織を狙ってサイバー攻撃を行う標的型攻撃の起点となるなどフィッシングによる攻撃は現在においても、根本的な技術的解決策のない脅威となっています。

BECについては、情報処理推進機構(IPA)から注意喚起が2017年と今年に出されたことや、2017年末に国内大手航空会社が約3.8億円の被害にあったことから、日本国内においても改めて脅威として認識され始めています。海外でも、アメリカやイギリスをはじめとして世界中で数年前から流行しており、この1,2年で被害額が拡大しています。

こうした背景を受けて、世界中でフィッシング対策が検討されている状況です。今回のBlack Hat USAで、SOAに並ぶトレンドとして、フィッシングを掲げるベンダーが多く見られたのは、こうした世界を取り巻く状況からある意味、自然なことでした。

展示内容自体は従来からあったセキュリティ製品が機能を強化し、メッセージ性を変更したものが多いというのが全体的な傾向です。

今年初めに米国バラクーダネットワークスに買収されたフィッシング対策のトレーニングサービスなどを展開するPhishLine社が3年連続で単独出展しており、昨年まで3年連続で出展していたPhishMe社に代わる形で、フィッシングに特化した脅威インテリジェンスを用いたソリューションを展開するPhishLabs社が今年は出展し、各ブーストも賑わいをみせるなど、注目度が昨年よりも高まっていたのが印象的でした。

近年、日本でもリスクは高まっている

ちなみに、BECについて日本国内のセキュリティ業界でも早くから知られていましたが、スパムメールと同様に不自然な日本語を用いたメール文面から脅威の度合いは低く見積もられていました。それが、2017年に通常の業務メールと区別がつかないくらいに自然な日本語を用いた文面の記載されたメールが攻撃に利用されたことで、脅威の度合いが一気に上がっています。

通常、メールにマルウェアが添付されていたり、送信者のメールアドレスが偽造されていたりすると各種セキュリティ製品で検知して、送信先に指定されたメールアドレスへ届かないように対策を行っている組織は少なくないと思われますが、今や攻撃者もAIを駆使してセキュリティ製品で検知されにくくするための方法を日夜研究しています。

そのため、攻撃者はセキュリティ製品で検知されにくい巧妙に細工されたフィッシングメールを用いて攻撃を仕掛けて来るので、守る側としては非常にやっかいな存在に進化していることを、セキュリティ製品を導入して万全だと考えている経営者は認識すべきといえます。

事前対策よりも事後の備えの充実を

フィッシング対策として、様々な手法で不正なメールを検知する製品がありますが、SOAと連動する流れとして、業務の各プロセスの中でインシデントと認識した際に、攻撃の起点となったメールまで遡り、同様のメールが他のユーザーへ届いていなかったか、届いていれば騙されて実行していなかったかなどを調べる環境・プラットフォームを提供する企業(ベンダー)もいくつかありました。

フィッシングはソーシャルエンジニアリングの手法を交えて、巧妙に攻撃が仕掛けられることもあるため、事前の対策や教育だけでは防ぎきれません。また、マルウェアの感染活動と異なり、BECのような業務プロセスの脆弱性を狙われるとセキュリティ製品ではなく、日々の業務監査で異常を検出する必要があります。

前回取り上げたSOA導入の検討に合わせて、業務プロセスの監査機能との連携も視野に入れてはいかがでしょうか。

セキュリティ最前線レポート2018|世界を席巻するフィッシング被害の対策とは? 世界中のセキュリティ専門家、ハッカーが集まるカンファレンス「Black Hat USA」からお送りするセキュリティ最前線レポート...
セキュリティ最前線レポート2018|サイバー攻撃増加の切り札「自動化」 毎年、夏の時期になると世界中のセキュリティ専門家やハッカーと呼ばれる技術者がアメリカのラスベガスへ集まります。この時期に開催され...
この記事を書いた人

デジタルリスクラボ編集部
デジタルリスクラボ編集部の研究員が更新。
今の時代に沿った新しいリスクの解決メディア。