巧妙化するフィッシングと悩ましいパスワード管理について知るべき11項目（前編）

昨今、在宅勤務が常態化する中で、組織が直面するセキュリティ課題も変容している。とりわけ、近年巧妙化するフィッシングの脅威や複雑なパスワード管理は、組織のセキュリティ対策を講じる上で喫緊の課題である。前編ではフィッシングへの回避策について、後編ではパスワード管理から脱却すべき理由について、それぞれ解説する。

巧妙化するフィッシング

フィッシングとは、一見すると信頼できる、あるいは一般的に認知されている差出人を装ったソースから送られてくる虚偽のメッセージを通じて、悪意あるリンクのクリック、個人情報の開示、システムへの不正アクセス、金融取引の実行などを促す行為である。

オンライン環境を中心とした生活が加速する中で、サイバー攻撃者のフィッシング手法は高度化しており、人々が他者に対して当然に抱く好奇心や信頼、同情などの心理につけ入ることで、巧妙なフィッシング詐欺が横行している。

今日、明らかにフィッシングと見分けることが困難な手法が日常のオンライン環境に潜んでおり、どんなに用心深いユーザーでもだまされる可能性がある。米コンピュータ緊急事態対策チーム（US-CERT）は、一見疑いの余地がないようなフィッシングメールとして、以下のようなパターンを挙げている。

金融機関を装った虚偽のSMS

銀行口座などのログイン情報（IDやパスワード）の更新を促し、インターネットバンキングを模倣したWebサイトに誘導。SMS受信者に口座情報の入力を要求し、口座から預金を不正に引き出す。

オンライン決済、インターネットサービス・プロバイダーを装った虚偽のメール

メール受信者の登録アカウントに問題があることを指摘。不正リンクに誘導し、個人情報を窃取する。

勤務先のIT部門を装った虚偽のメール

メール受信者のアカウントのパスワード更新を促し、個人情報を入力させる。パスワードなどの機密情報を窃取し、企業のシステムやデータへのアクセス権を不正に取得する。

危機意識を高める5つのポイント

このような巧妙なフィッシングに対して、以下の5つのポイントを理解することで危機意識を高めることができる。

突然受信したリンクはクリックしない

サイバー攻撃者は、人々のデバイスをスキャンし、第三者のメールアドレスを取得し、差出人を偽ってメールを送信することで、悪意あるリンクを通じてマルウェア、ランサムウェア、ウイルスを拡散する。不明な差出人、あるいは、既知の差出人を名乗るソースから受信したメールやSMSであっても、突然リンクのクリックを促される場合は、フィッシングの可能性を疑うことが推奨される。

緊急性を強調するメールには直接知人やカスタマーサービスに連絡する

大半のフィッシングメールは、緊急性を醸し出すことで、受信者のアカウントや個人情報の登録内容について危機感を抱かせようとする。この実例としては、「貴殿の口座の過剰請求が判明しました。還付金をお受け取りになる場合、7日以内にご連絡ください」などの文面が挙げられる。

知人と思しき人物から疑わしいメールを受信した場合、即座に対応せず、まずは当該人物に直接連絡して内容を確認すべきである。また、企業・団体からのメールであっても、不審に思われる場合は、カスタマーサービスなどに直接連絡すべきだ。

SNSにおける個人情報管理を徹底する

SNSでは無料で実施できる性格診断などのクイズがあるが、これはサイバー攻撃者がユーザーの個人情報を手に入れる絶好の手段として悪用されている。一見、無害なクイズに回答しているうちに、氏名や誕生日、勤務先などの情報を攻撃者に対して開示してしまうことになる。

また、これらのクイズに限らず、SNSでの普段の投稿においても、個人情報の管理は徹底すべきである。サイバー攻撃者はSNSに公開されている個人情報も悪用するため、ユーザーは投稿内容に個人情報が含まれていないか、また、投稿内容の閲覧制限の範囲を十分に確認すべきである。

位置情報の共有設定を管理する

スマートフォンなどで撮影する写真には、メタデータとして位置情報が組み込まれている。サイバー攻撃者は、SNSなどに投稿された写真の位置情報を抜き取ることで、撮影者に関連性の高いフィッシングメールを作成できる。

そのため、位置情報を共有する必要がない場合は共有設定をオフにすることで、サイバー攻撃者からのフィッシングを回避することができる。

多要素認証（MFA）でオンラインアカウントを保護する

米国国立標準技術研究所はパスワードの作成について、できる限り長くかつ複雑にすべきであり、複数の場所での使い回しはすべきではないと提唱している。

しかし、パスワードだけで万全なセキュリティを整えられるわけではない。メール、オンラインバンキング、SNSなどのデジタル・アカウントにはMFA（MFA: Multi-Factor Authentication）を有効化し、サインインにさらなる保護を追加するオプションが備わっている。MFAとは一般的に、以下の要素を2つ以上組み合わせたものだ。

• 知識情報：パスワード、PIN、セキュリティの質問の回答
• 所持情報：モバイルデバイス
• 生体情報：指紋・顔認証

上記の異なる認証情報を組み合わせることで、サインインにおける身元の証明をより確実性の高いものにできる。Googleがニューヨーク大学とカリフォルニア大学サンディエゴ校と共同で行った調査では、MFAを使用したユーザーのGoogleアカウントでは、ボットを100％、バルクメール攻撃を99％、また、標的型攻撃を66％阻止できた、と発表している。