フィッシングの被害がなくならない理由とその対策
フィッシングの増加と巧妙化は、パンデミックが引き起こした数多くの課題の 1 つです。実 のところ、驚くには値しません。増加した在宅勤務者がニュー ノーマルに慣れ、不正アクセ スの格好の標的になっているのです。
つまるところフィッシングとは、一見本物に見える罠でユーザーをだまし、クリックすべきでないものをクリックさせる攻撃です。在宅勤務環境のストレス、不安、絶え間ない課題が原因で、変化を乗り越えようとする人々に付け込むフィッシング攻撃が増加しています。
フィッシングは新たな問題ではなく、パンデミックを機に生まれたわけでもありません。IT部門が長年解決に取り組んできた課題です。しかし、さまざまな理由により、どのような規模の組織でもフィッシングの被害が絶えません。ですが、改善は可能です。リスク削減に貢献する予防的なプロセス、コントロール、テクノロジは存在します。
従来の Web セキュリティが最新のフィッシングに効果がない理由
ここ数年、フィッシングは進化を続けてきました。かつてはフィッシング対策にある程度効果があった企業セキュリティ制御も、メール セキュリティや Web セキュリティの観点では効果を失っています。
実際、弊社の調査によると、近年では従来の Web セキュリティを無効化する回避技術が最大 90% のフィッシング キットに標準搭載されて います。フィッシング キットは検出を回避する既製の機能によって、事実上の「サービスとしてのフィッシング」を攻撃者に提供します。
従来の Web セキュリティは、フィッシング サイトなどの悪意ある Web サイトへのアクセスの検出とブロックを、URL データベースに長 年依存してきました。悪意ある URL のデータベースはベンダーが Web クローラーでサイトをスキャンし、データベースにフィッシング サ イトを追加することで機能します。フィッシング キットの運用者はこの仕組みと Web クローラーを回避する方法を熟知しているため、悪 意あるアドレスはデータベースに登録されません。
また、一般に利用される検出テクノロジはマルウェアに反応して動作しますが、最近ではマルウェアを使用しないフィッシング攻撃も少な くありません。最新のフィッシングはステルス型で、多様な難読化技術を用いて従来の Web セキュリティ スキャンを回避するのです。
フィッシングの検出が難しい理由 : フィッシング攻撃の多様性
フィッシング攻撃は従来の Web フィルタリング データベースのセキュリティ チェックを具体的にどう回避するのでしょうか。以下に例を 示します :
クローキングによる悪意あるコンテンツの隠ぺい
セキュリティ用の Web クローラーは生の Web トラフィックを分析するわけではなく、セキュリティ ベンダーの既知の IP 空間から Web ページの分析を実施します。攻撃者はこの点を認識しており、セキュリティ ベンダーのスキャンに対して無害なコンテンツか空白ページ を返して悪意あるコンテンツを隠ぺいするようフィッシング キットを設計しています。この手口によって URL データベースをだまして フィッシング ページを無害なページに分類させ、セキュリティ チェックをすり抜けるのです。ターゲットがフィッシング ページにアクセ スした場合は、本来のコンテンツが表示され、攻撃を行えるようになります。
多段階攻撃と CAPTCHA チャレンジ
URL に対する最初のセキュリティ スキャンを突破できるように、無害な操作を隠れ蓑にしたフィッシング攻撃が増加しています。たとえ ば、フィッシング ページの前段に CAPTCHA チャレンジが設置される場合があります。これは非常に狡猾な手口です。なぜなら、CAPTCHA チャレンジはとりわけ自動ボット (Web クローラーを含む ) によるコンテンツへのアクセスを防ぐために設計されているからです。この場 合、Web クローラーがページをスキャンしても CAPTCHA チャレンジしか表示されません。CAPTCHA チャレンジ自体は無害なため、フィッ シング ページが無害なページに分類されてしまいます。
短命な使い捨てリンク
攻撃者は前例のない完全に新規のフィッシング URL を大量に立ち上げます。立ち上げのコストと難易度がかつてなく低下したことで可能 になった手口です。1 件のフィッシング ページが数時間から数分しか使用されない場合もあり、寿命を迎えると廃棄されて新しい URL に 切り替わります。セキュリティ データベースが追跡できないスピードで切り替えることで、ブロックを回避するのです。使い捨てリンク は標的型攻撃でも頻繁に使用されており、1 つのミッションを達成すると、二度と使われません。
侵害した Web サイト上での攻撃
URL データベースが正当な Web サイトを無害な Web サイトに分類し、必ずしも再チェックを行わずにアクセスを許可していることを攻 撃者は認識しています。したがって、正当な Web サイトを侵害できれば、侵害したサイト上にフィッシング ページを作成し、Web セキュ リティを偽装によって簡単にすり抜けられます。また、既知の Web サイトに接続していると考えているエンドユーザーをだましやすくな るため、この手のフィッシング ページは特に成功率が高くなります。
従来の Web フィルタリング、メール認証、多要素認証は単体では不十分
フィッシング攻撃への対策を急いで支援すべく、メール認証テクノロジや多要素認証テクノロジを導入している組織も存在します。
問題は、フィッシングがメール経由とは限らないことです。メール認証システムを導入していても、ユーザーがアクセスした悪意あるサイ トからのフィッシング攻撃は防げません。また、Web ページ広告や近年増えている SMS 広告の一環として SaaS コラボレーション スイー トにホスティングされたドキュメントにもフィッシング リンクがよく含まれており、メールベースの管理を完全に回避できます。
フィッシングのリスクを減らすには
それでは、自分の組織でフィッシングのリスクを減らすために何ができるのでしょうか。フィッシングのリ スクを低下させるポイントをいくつかご紹介しましょう :
メールにとどまらないフィッシング セキュリティ スタック
フィッシングがメールだけの問題ではないと認識することが鍵となります。高度なフィッシング攻撃や回避 型フィッシング攻撃を阻止できるセキュリティ スタックの導入が重要です。URLデータベースやWebクロー ラーに基づくシステムを利用していても、十分な対策は不可能です。求められる対策は、ページがユーザー に配信された際に内容を実際に分析するインライン機械学習などのテクノロジを利用して、フィッシングの リスクがないことを確認し、ゼロ号患者にならないようにすることです。
トレーニング
テクノロジは重要ですが、フィッシングのリスクを学ぶ何らかの従業員トレーニング プログラムが必要であ ることに、もはや議論の予知はありません。ソーシャル エンジニアリング型のフィッシング攻撃は、テクノ ロジの弱点ではなく人間の弱点を悪用します。セキュリティ意識を高め、問題への解決策に従業員を取り込 む上で、トレーニングは有効です。
セキュリティ ライフサイクル全体にわたるアプローチ
フィッシングのリスクを減らすには、何らかのテクノロジを導入するだけでなく、ライフサイクル全体をカバーするアプローチが求められます。つまり、事前対応と事後対応、両方の能力が必要です。現実には、セキュリティ対策の導入量や投資額に関係なく、何らかの侵害が発生した場合のプランも用意する必要があります。従業員がフィッシング攻撃を受け、認証情報を盗まれたら何が起こるでしょうか。不正アクセスを検出してレスポンスする能力が組織に備わっているでしょうか。
経営幹部は社内部門と協力してテクノロジ、人材、プロセスを確実に導入し、外部からのフィッシング攻撃をできるだけ多く防げるよう支援を行う必要があります。フィッシングは多面的な脅威であり、対策には包括的な戦略が必要です。結論として、フィッシングの課題を克服するには、事前対応と事後対応の両方をカバーするエンドツーエンドの統合プロセスが欠かせません。どちらかが欠けても、脅威への対策が十分とは言えないのです。