フィッシング攻撃の進化: ウォッチガードが観測した実例から
2021 年 11 月 10 日 Ryana Estes 著
ソーシャルエンジニアリングの一種である「フィッシング」とは、攻撃者がユーザを騙して機密情報を電子メールで送信させようとする攻撃のことです。通常、脅迫者が同じ内容のメールを大量に送信し、一部のユーザが騙されることを狙います。スピアフィッシングも電子メールを利用した標的型フィッシング攻撃の一種ですが、受信者に関する特定の知識や詳細情報を利用して機密情報を提供させようとするものであり、やや手口が異なります。いずれにしても、フィッシング攻撃は多くの企業が直面する問題であり、撲滅のために絶え間ない努力がなされています。各機関の IT 担当者は、ソーシャルエンジニアリングこそが、ビジネスの混乱や経済的損失につながる主要なサイバー脅威だと認識していることが毎年の統計でも明らかになっています。
フィッシング攻撃についての一般的な見解は、件数が増え続けている、成功率が安定している、企業が負担するコストが増加している、ランサムウェアなどのマルウェアの配信によく利用されている、進化しを続けている、といったものです。たとえば、The Anti-Phishing Working Group は、四半期ごとにフィッシング攻撃の最新動向を紹介するレポートを発表していますが、最新のレポートによると、新型コロナウイルス流行の影響で、昨年 1 年間でフィッシング攻撃は倍増し、成功率も高い数字で安定しています。また、FBI の Internet Crime Complaint Center (IC3)も同様の結果を示しており、過去 1 年間でフィッシングに関する苦情が倍増していることがわかります。フィッシング攻撃の増加に伴ってデータ侵害の件数も増加し、企業は多額の損害を被っています。IBM が毎年発表している「データ侵害のコストに関する調査」は、Ponemon Institute の調査を基に作成されたもので、2020 年のデータ侵害による推定総コストは約 386 万ドル、さらに 2021 年には 424 万ドルとなり、過去 17 年間で最も高い平均コストであることが明らかになりました。フィッシング攻撃による脅威は、機密情報の喪失だけではありません。Verizon のデータ漏洩/侵害調査報告書(DBIR)によると、ランサムウェアを含むほとんどすべてのマルウェア(96%)が電子メールで配信されています。
今回の記事では、ウォッチガードの社員が経験した実例を用いて、フィッシング攻撃の進化と複雑性を示します。フィッシング攻撃の進化は、電子メールにとどまらず、SMS / テキストメッセージサービス(SMiShing = スミッシング)、音声通話(Vishing = ヴィッシング)、ソーシャルメディア(Angler Phishing = アングラーフィッシング)など、他の通信メディアも利用するようになっています。つい最近ウォッチガードの社員は、スミッシングとアングラーフィッシングを経験しました。スミッシングとは、SMS や WhatsApp、Signal、Facebook Messenger などのテキストメッセージングサービスを利用したフィッシング、つまりソーシャルエンジニアリング攻撃の一種です。アングラーフィッシングとは、ソーシャルメディアを利用して、正規のカスタマーサービス担当者になりすまして情報を聞き出そうとするものです。これは SMS のほか、Instagram、Twitter、LinkedIn のダイレクトメッセージなどの形でも行われます。
ウォッチガード社員が経験した最初のインシデントは、LinkedIn で起こりました。「エミリー・ノラ」というユーザが、「Link Building」という存在しない役職でウォッチガードの社員になりすましていました。この偽の社員は複数のウォッチガード社員に連絡を取ろうとしており、おそらくウォッチガード公式の LinkedIn につながっている社員のリストを参照して、機密情報を手に入れようとしていました。幸運にも、ウォッチガードの社員はこのアングラーフィッシングの試みをすぐに阻止しました。この偽の社員がウォッチアードの社員と繋がろうとしている様子のスクリーンショットが以下です。
もう 1 つの興味深い試みは、WhatsApp 上で行われました。ウォッチガードの CEO である Prakash Panjwani になりすましたユーザが、ウォッチガード社内の従業員を利用して支払いを処理し、海外との取引(買収)を行おうとしました。攻撃者はウォッチガード CEO の公式画像を流用し、ソーシャルエンジニアリングの手法を用いて社員に支払いをさせようとしていました。このスミッシング(またはアングラーフィッシング)の試みもまた検出され、組織内の適切なチャネルに報告されました。
フィッシング攻撃全般から身を守るためには、まずその問題に関する適切なトレーニングを行う必要があります。研究によると、フィッシング攻撃のシミュレーションやゲーミフィケーションが、ユーザがフィッシング攻撃を検知したり予防したりするのに役立つと報告されています。しかしこの記事では、電子メールを介したフィッシングだけでなく、組織が使用するすべての通信メディアを介したフィッシングについてのトレーニングの重要性を伝えたいと思います。フィッシングの検出と防止には、トレーニング以外にも常識と直感が大いに役立ちます。組織に社員名簿があれば、エミリー・ノラという社員がいるかどうかを検索したり、役職が実際には存在しないことが調べられます。また企業の CEO が、買収などの重要なビジネス上の意思決定に WhatsApp で連絡を取ることはないだろう、ということも常識からわかります。もちろん攻撃のシナリオは場合によって異なります。最も安全な方法は、不審な通信があった場合には可能な限り組織内のセキュリティ専門家に報告することです。
- APWG Phishing Activity Trends Report 2Q 2021 (https://apwg.org/trendsreports/)
- FBI IC3 2020 Report (https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf)
- IBM Cost of a Data Breach 2021 (https://www.ibm.com/security/data-breach)
- Verizon DBIR (https://www.verizon.com/business/resources/reports/dbir/)