年々完成度を高める脅威、ユーザーの注意力頼みはいよいよ限界

企業を取り巻く環境は、年々加速度的な勢いで変化しています。数年前までは「メリットがよくわからないから」「セキュリティが不安だから」と敬遠されがちだったクラウドサービスが、今や新サービスの開発プラットフォームに選ばれたり、オンプレミスのシステムを再構築する際のファーストチョイスになったりしています。また、働き方改革の一環として徐々に広がっていたテレワークが、新型コロナウイルス対策の一環として爆発的に広がったことも、皆さん体感しているでしょう。

では、そんな企業を取り巻くセキュリティの脅威はどうでしょうか。本誌も含め、さまざまな媒体で連日のように「こんな攻撃がありました」「あんな脆弱性が報告されています」と報道されています。次々新たなニュースが出てくるのは確かですが、その背景や背後にあるテクニックを見ていくと、実は根本的な部分ではあまり変わっていません。

本連載では、そんなセキュリテイの脅威の「変化」と「変わらない部分」に焦点を当て、企業がどんな対策を検討すべきかを解説していきます。

クラウドの広がりに伴い、狙われるMicrosoft 365のアカウント

テレワークが広がり、「おかしいな」と感じてもIT管理者にすぐ連絡を取ることができない自宅で作業する人が増えた結果、以前に増して危険性が指摘されているのが「フィッシング詐欺メール」のリスクです。

フィッシング詐欺とは、実在する組織や企業、人物の名前を騙って、これまた本物そっくりに作った（実際には、データをコピーして作成しているため見抜くのが非常に困難な）偽のWebサイトに誘導し、「セキュリティ強化のため更新が必要です」といった名目でIDやパスワード、あるいはクレジットカード番号などの重要な情報を入力させ、裏側でそれを盗み取る手口です。盗み取られた情報は、Webサービスや企業システム、SaaSへの不正アクセスに使われる恐れがあります。

フィッシング詐欺はインターネットの拡大とともに現れ、ずっと使われてきた、手垢が付いたと言ってもいい攻撃手法です。ただ最近、そのターゲットに変化が見られます。当初、広くコンシューマーをターゲットに、銀行をはじめとする金融機関やオンラインショッピングサイト、国内では佐川急便などの配送業者を装うケースが大半でした。そうした手口が減っているわけではないのですが、新たに企業向けクラウドサービスを狙うフィッシング詐欺が増加傾向にあるのです。

私たちVade Secureが、世界76カ国、10億個以上のメールボックスから得られた調査結果によると、7四半期連続でMicrosoftを騙ったフィッシングメールが最多となりました。

• フィッシングメールで最も多いのはMicrosoftを騙ったもの　資料：Vade Secure

「Microsoft 365」は約2億5800万人のユーザーを抱える世界最大規模のSaaSです。しかも、SharePointやOneDrive、Teamsといったさまざまなサービスとひもづいているため、攻撃者はいったん入り込んでしまえば、さまざまな「宝の山」にありつける可能性があります。サイバー犯罪者は常に「金銭的な価値」や「財産」のあるところを狙ってきます。その新たなターゲットがMicrosoft 365というわけです。

情報処理推進機構（IPA）をはじめセキュリティ関連組織やベンダーはたびたび、フィッシングメールに注意を呼びかけてきました。しかし、フィッシング詐欺が使う、人の心理につけ込んでだます「ソーシャルエンジニアリング」という手法は、古典的ですが効果的です。攻撃者にとってコストパフォーマンスのよい手段ということもあり、いっこうに止む気配はありません。

人をだます手口を根本的に防止できる手段はなく、「気をつけましょう」で何とかなるものではありません。ただ少なくとも、 以下の2点が大切です。

• ニュースやセキュリティ情報に注意を払い、「今、どんな手口がはやっているのか」「どんなフィッシング詐欺がはやっているのか」を知る
• メールに記されたリンクからダイレクトにとんだサイトでは、極力個人情報を入力しないよう心がける

いったんは終息を見せたのに……再び活発化するEmotet

もう1つ、特に国内で注意を払いたい動きが、メールの添付ファイルを開くと感染するタイプのマルウェア「Emotet」です。

Emotetが最初に猛威を振るったのは2019年末のことでした。2020年2月以降、いったん活動は収束したかに見えましたが、7月になって第2波が到来。その勢いはやむことを知らず、8月～9月にかけてさまざまな企業に感染が広がっています。

• Emotetによる攻撃メール例　資料：情報処理推進機構（https://www.ipa.go.jp/security/announce/20191202.html）

さて、「添付ファイルを開くと感染するタイプのマルウェア」は、それだけならば珍しい存在ではありません。あの手この手を使って受信者をだまし、添付ファイルを開くよう仕向けるのは、長年にわたってサイバー攻撃者の常套手段でした。

Emotetがやっかいなのは、この「あの手この手」の完成度が高いことです。

Emotetは感染すると、ターゲットのメールのアカウント情報をはじめ、やりとりしているメールの本文や添付ファイル、相手のメールアドレスといった情報を盗み出します。そして、それまでやりとりしてきたメールに返信するような形で、関係者にEmotet自身を添付したメールを送りつけ、感染を広げていきます。ビジネス文書として違和感のない文面が記されている上、最近は、日本企業が機密情報をやりとりする際の「慣習」を理解してか、パスワード付きZIP形式で自身を送りつけるケースまで報告されています。

メール経由の脅威への対策として「疑わしいメールには気をつけましょう」と言われますが、Emotetにはそれがなかなか通用しません。普段から仕事の付き合いがある人から、今まさに進行中のプロジェクトについて記したメールが返信の形で返ってきたら、疑う人の方が少数派でしょう。いわば、サプライチェーンに相乗りするような形で、この手口は、かつて「標的型攻撃」で使われた手法に似ています。

インターネットで検索すると、「不審メール配信のお詫び」といった形で、Emotetに感染して関係者に感染メールを送付してしまった企業のプレスリリースがいくつか見つかります。が、Emotetの手口を知れば知るほど、こうした企業を責める気にはなれなくなります。

とはいえ、Emotetの場合は自分が被害者になるだけでなく、周囲へ感染を拡散する加害者になり得ることを念頭に置き、IPAなどが呼びかけている通り、以下のような対策を徹底することが大切です。

• OSやアプリケーションなどをアップデートし、脆弱性を修正する
• 身に覚えのないメールの添付ファイル、少しでも不審な点のある添付ファイルはクリックしない。また開いてしまってOffice形式の文書が開いたとしても、「マクロを有効にする」「コンテンツの有効化」というボタンはクリックしない

また、それでも引っかかってしまう可能性があることを考慮し、 「何かおかしいなと思ったら、すぐにセキュリティ担当者や情報システム部に連絡する」こともポイントでしょう。

とはいえ、どれほど注意を払っても、ユーザーの注意力やリテラシー頼みで対策を進めるのは限界に来ていることが、こうした攻撃例からもよく分かると思います。そろそろ、一歩踏み出した新たな対策の登場に期待したいところです。