セキュリティ分野においてDXCの重要なパートナーであるCyberArk社によって執筆されたこの記事は、CyberArk.comで公開されていたものであり、許可を得て転載しています。

フィッシング攻撃は、グローバルな通信企業から地元の小さな小売店まで、どこで働いているかに関係なくあらゆるところにまん延しています。幸いなことにフィッシング詐欺の手口、特にメール関連での詐欺行為の見分け方について、従業員達は豊富な知識を備え始めています。Verizonが発表した最新のデータ漏洩/侵害調査報告書によると、従業員がフィッシングメールをクリックする可能性はわずか2.9%でした。しかし、大手テクノロジー企業数社に対して行われた攻撃は、多面的なフィッシング手法がいかに巧妙化しているかを示唆しています。

 

最近の主なフィッシング攻撃で共通して見られた5つの要因

読者が行動を選択する冒険小説のように、フィッシング詐欺に対しては、増え続ける攻撃戦術、テクニック、手順のリストを利用してさまざまな角度からアプローチできます。過去にフィッシングを阻止した手法でも、次のスプーフィングを阻止できない可能性があるため、多層防御が必須です。いつ、どこに集中すべきかを理解することで、サイバーディフェンス側が優位に立つことができます。そのために、注目を集めた主なフィッシング攻撃で見られた5つの要因と、CyberArk LabsおよびRed Teamが提唱するサイバーリスク軽減のヒントをご紹介します。

1. ソーシャルエンジニアリングで特定のテクノロジー組織で働く個人を特定

サイバーリスク軽減のヒント:  セキュリティリーダーに対する最近の調査では、ランサムウェア対策においてセキュリティ意識向上トレーニングが2番目に効果的な多層防御戦略であると評価されました。定期的なトレーニングセッションの実施により、セキュリティを強く意識した行動を組織文化に根付かせるとともに、進化するソーシャルエンジニアリングとフィッシング攻撃手法について従業員と常に情報を共有します。トレーニングに倫理的なフィッシング演習を加えることも検討してください。また、スパムフィルターが適切に機能していることを確認し、不審なメール、大量のキャンペーンメール、未承諾のマーケティング資料が従業員の受信トレイに届かないようにします。

2. 第1要素である資格情報の盗難によるIDの侵害とネットワークへの侵入。たとえば、パスワードを盗聴する中間者 (MITM) 攻撃や、ユーザーのブラウザに保存されているキャッシュされたパスワードを標的にした攻撃

サイバーリスク軽減のヒント:セキュリティ意識向上キャンペーンでは、フィッシング被害を必ずしも防げるわけではありません。CyberArk社のRed Team ServicesのバイスプレジデントであるShay Nahari氏は次のように述べています。「防御戦略の基本的な枠組みにおいて、エンドポイントの権限管理は重要な戦略の1つです。これにより、クライアント側の資格情報を保護し、多要素認証バイパスを可能にする危険性のあるCookieの盗難を防ぐことができるようになります」。エンドポイントセキュリティ管理を展開する場合は、フィッシング攻撃をクリックした履歴のあるユーザーに優先的に対処することを検討してください。

3. SMSやボイスフィッシングを悪用した多要素認証疲労攻撃では、信頼できる送信元になりすましてユーザーに多要素認証の承認を要求し、大量のプッシュ通知でユーザーを「疲労」させ、ひとたびユーザーが承諾すると企業のVPNやその他のターゲットシステムへのアクセス権を取得

サイバーリスク軽減のヒント:攻撃者は、多要素認証を標的にしてセキュリティ管理を回避する新たな方法を次々と見つけ出しています。FIDO、QRコード、物理トークンなど、フィッシングに耐性のある多要素認証要素を選択することで、そういった試みを阻止することができます。

「多要素認証疲労攻撃を軽減する方法の1つに、多要素認証の設定または構成を、プッシュ通知ではなくワンタイムパスワード (OTP) の入力に変更することがあります」とNahari氏は紹介します。「認証メッセージやタッチポイントの表示が繰り返されると、ユーザーは注意力が散漫になりがちで、うっかり攻撃者の侵入経路を作ってしまう可能性があります。OTPはユーザーの作業を増やしますが、多要素認証疲労攻撃のリスクを軽減できます」

そして次のように続けます。「私のチームでは、攻撃者シミュレーション演習の一環として、IOC (侵入の痕跡) を含むさまざまな種類の検出結果を調査しています。IOCは、特定の攻撃における基本情報です。多要素認証疲労攻撃の場合、攻撃者は既に資格情報を得ており、アクセス権を得るために多要素認証通知を承認するようユーザーに求める必要があります。多要素認証疲労攻撃の阻止に成功した場合、攻撃者は別の攻撃経路を選択せざるを得なくなります。OTP構成により、ユーザーはこの種の攻撃の影響を受けにくくなり、リスクを大幅に軽減できます」

よりユーザーフレンドリーな手法は、多要素認証を成功させるために「番号の一致」を要求することです。「番号の一致」では、認証アプリを利用して多要素認証のプッシュ通知に応答するユーザーに番号が表示されます。承認を完了するには、その番号をアプリに入力する必要があります。フィッシング攻撃が行われている間、エンドユーザーは正しい番号の並び順を知らないため、認証要求は承認されません。

あらゆる種類の多要素認証攻撃を防ぐには、個人プロファイルが変更されるたびに多要素認証を義務付けて悪意ある行為を見逃さず、危険性のあるイベントをプロアクティブにレビューするように設定することが重要です。さらに、SOCではユーザー行動分析を活用し、異常な行動が検出された場合に通知するコンテキスト連動トリガーを設定することや、疑わしいIPアドレスからのユーザー認証要求をブロックすることもできます。

4. 接続を維持しながら痕跡を隠蔽し、その他のシステムやサーバーへの侵害を狙うラテラルムーブメント。権限昇格によるドメインコントローラーなどの重要システムへの侵入

サイバーリスク軽減のヒント:すべてのインフラストラクチャ、アプリケーション、データに最低限の権限のみを適用します。これは単純なコンセプトのように思えますが、特に大規模な環境では実施が難しい場合があります。そこで、インテリジェントな権限管理の出番です。インテリジェントな権限管理では、すべてのIDについてシームレスにアクセスを保護し、継続的な脅威の検出と防止に加え、行動分析によってIDライフサイクルを柔軟に自動化して最も重要な資産を保護します。

5. データ漏えい

サイバーリスク軽減のヒント:ある最新のフィッシング攻撃では、攻撃者はデータを盗み出し、検出されて駆除された後に、ネットワークへの再侵入を試みたと報告されています。このとき攻撃者は、資格情報をリセットする際にパスワードを1文字だけ変更した可能性のある従業員を標的にしていました。幸いなことに攻撃は成功しませんでしたが、強力なパスワードの使用は継続する価値があります。さらに良い方法は、一意の強力なパスワードを自動生成する方法を提供し、ユーザーの負担を完全に取り除くことです。  

フィッシングは今までにないレベルで進化しており、最近の事象は、攻撃者が無防備な (または多要素認証に疲れている) 被害者を欺くためにどこまでも攻撃し続けるということを示しています。効果的なフィッシング対策保護を行うためには、セキュリティに関する技術的要素と人的要素の両方を考慮する必要があるとともに、不正なクリックが避けられないことを前提とし、フィッシングの脅威が大きくなる前に迅速に脅威を検出することに重点を置いて取り組む必要があります。