電子メールやSMSなどを通じて、IDやパスワード、クレジットカードなどの情報を窃取するフィッシング。フィッシングは、攻撃者にとって比較的簡単で効率の良い手法であることから、サイバー攻撃の入り口として利用され続けています。

マイクロソフトの分析によると、Office 365上では、実に月間約2.6億件ものフィッシングメールがやり取りされています。これは、Office 365全体でやり取りされているメールの0.55%程度を占めており、2018年度では、年間を通して上昇傾向にありました。

2018年度のOffice 365におけるフィッシングメールの割合/出典:マイクロソフト セキュリティインテリジェンスレポート 第24版

フィッシングの攻撃者は、さまざまな手法を駆使してメールの内容を信じ込ませ、メッセージ内のリンクのクリックを促し、添付ファイルを開かせようとします。そのなかでも、メッセージ内容に実在する銀行やオンラインショッピングサイト、大手IT企業などの名前をかたったり、ロゴを悪用したりして差出人を偽装する手法は、利用者を欺きやすく、攻撃者が利用する典型的な手口です。

マイクロソフトセキュリティチームをかたるフィッシングメールの例

マイクロソフトの製品/サービス周辺では、昔から「マイクロソフトのサポート窓口をかたる」「製品のライセンス違反を示唆する」といった手口でユーザーをだまし、金銭を盗み取ろうとするフィッシングが見られます。

ここ数年は、Office 365をはじめとしたクラウドサービスを利用するユーザーの増加に伴い、Office 365のサポート窓口をかたるフィッシングが増加しています。例えば、「アカウント情報の確認を迫ってIDとパスワードを入力させる」「決済情報に不備があるとしてクレジットカードの入力を促す」といった手口が報告されています。

フィッシングメールの本文、そしてメール内に記載されているサイトは、Office 365のロゴや画像を転用するなどし、正規のOffice 365のサイトそっくりに仕立てられています。

Office 365 をかたるフィッシングメールと、リンク先のフィッシングサイト

さらに、昨今は、フィッシングを実行するプラットフォームとして、クラウドのリソースを利用するケースが増加しています。管理が甘い利用者のクラウドリソースを乗っ取ってフィッシングメールを送信したり、クラウドサービス上のドキュメント共有/コラボレーションサイトを利用してフィッシングサイトを構築したりといった具合です。例えば、マイクロソフトのOneDrive上に、Formsを利用してユーザー名とパスワードを入力させるフィッシングサイトを作成し、ユーザーを誘導するケースが報告されています。

このようなケースでは、フィッシングが行われているサイトのURL自体は正規のマイクロソフトサイトであるため、ユーザーが、よりだまされやすくなってしまう傾向にあります。なお、マイクロソフトはマイクロソフトのサービス上でこのような詐欺行為を禁止しており、即座にアクセスをブロックする、アカウントを閉鎖処理するなどの対策を実施しています。もし、このようなサイトを見つけた場合は、速やかにマイクロソフトに報告してください。

マイクロソフトサービス上に構築されたフィッシングサイトの例

このように、フィッシングの手口はどんどん巧妙になってきています。また、フィッシングは、利用者を信じ込ませて自ら行動するように仕向ける、という「人の脆弱性」を狙った攻撃であるため、技術的な対策のみを行えばいいというものでもありません。

企業を狙う攻撃者にとって、フィッシングは、あくまでも企業へ侵入するための入り口として利用する手段の1つにすぎません。フィッシングによって窃取した利用者IDとパスワードを基に、企業システムへ正規のユーザーとしてログインし、侵入を深めてより重要な情報へと近づいていきます。企業のセキュリティ対策においては、フィッシングメールの開封や不審なサイトへのアクセスを防止する対策だけに注力するのではなく、ID管理やログ管理、すばやいレスポンスなども含め、システム全体で対策することも重要です。

次回から、フィッシングを入り口とした攻撃の流れを追いながら、Office 365/Microsoft 365で利用されているフィッシング対策技術の仕組みを解説すると共に、それらの機能がどのようにフィッシング対策に活用できるのかをご紹介していきます。

著者紹介

垣内 由梨香
マイクロソフト株式会社 セキュリティ レスポンス チーム セキュリティ プログラム マネージャー

マイクロソフト株式会社に入社以来、Active Directory, Network, 証明書および暗号化を専門としたWindows エンジニアを経て現職。セキュリティの意識向上活動、インシデント対応に従事。CRYPTREC委員。