フィッシング攻撃の脅威が増加している。日常生活において、偽装されたURLが記載されたメールを受け取ったことがある人も多いだろう。フィッシング攻撃の対象は個人だけではない。企業や組織が攻撃を受けた場合の被害は計り知れず、大きな脅威となる。
フィッシング攻撃とはどのような手法であり、具体的にどんなリスクがあるのか。個人や企業はどのような対策をとるべきか。
本稿では、EGセキュアソリューションズ 取締役 CTO / 情報処理推進機構(IPA)非常勤研究員 / 技術士(情報工学部門)の徳丸浩氏に、フィッシング攻撃の概要や主な手法、有効な対策などについて話を伺った。
-
EGセキュアソリューションズ 取締役 CTO / 情報処理推進機構(IPA)非常勤研究員 / 技術士(情報工学部門)の徳丸浩氏
フィッシング攻撃とは
フィッシング攻撃とは、悪意のある第三者が企業や個人の機密情報を盗むために、偽装した電子メールやWebサイトを使用するサイバー攻撃の一種である。具体的には、信頼性のある企業や組織を装った偽の通知メールなどを送り、それを受け取った被害者がリンクをクリックした後、ID/パスワードといったアカウント情報を入力したりすることで、攻撃者に個人情報や認証情報が渡ってしまう仕組みである。
この攻撃の目的は多岐にわたるが、金銭的な利益を狙ったものが多い。クレジットカード情報や銀行口座のログイン情報が盗まれ、違法取引に悪用されるケースはその一例だ。また、企業の重要な機密データが盗まれることで企業全体に深刻な被害をもたらすこともある。
近年のデジタル社会の進展に伴い、フィッシング攻撃の手法も巧妙化し、多様化している。これに対して企業や個人が効果的な対策を講じることは、今後ますます重要になるであろう。
フィッシング攻撃の主な手法
フィッシング攻撃の主な手法として徳丸氏が挙げたのは、電子メールやSMS(ショートメッセージ)から偽のWebサイトへ誘導する手法だ。メッセージには「至急内容をご確認ください」といったような文言と、偽のサイトURLが記載されている。偽のサイト上でログインIDやパスワードを入力してしまうと、その情報が攻撃者側へ渡ってしまう仕組みだ。
個人を対象としたフィッシング攻撃
主に不特定の個人を対象にしたばらまき型のフィッシングの場合、誰もが知るような企業からの通知を装って、偽装したWebサイトへ誘導することが多い。実際、徳丸氏が受け取ったものでは、AmazonプライムやJR東日本のえきねっとといった、著名な企業のWebサイトを騙るものもあったという。SMSを悪用したものでは、クロネコヤマトや佐川急便といった宅配業者の不在連絡を騙るものが多いそうだ。
ばらまき型はリーチする母数を増やして成功数を確保するのがねらい。攻撃手法は多様だが、完成度よりも手数を増やすことに重点が置かれており、気を付けていれば見破れるものが多い。
企業を対象としたフィッシング攻撃
一方、企業を対象にしたフィッシング攻撃は、特定の企業の機密情報を盗むことなどを目的としているため、「非常に巧妙」だと同氏は説明する。例えば、企業でよく使われるメールサービスであるGmailやOutlook、AWSなどのプラットフォームに似せた偽装Webサイトに誘導されてしまい、登録しているメールアドレスが流出した事例もある。
「フィッシング攻撃の手法は、ばらまき型でITリテラシーの高くない層を狙ったものから、企業の持つ価値の高い情報を狙う手の込んだものまで、幅広いという特徴があります」(徳丸氏)
セキュリティ関連の注目ホワイトペーパー
ゼロトラストに基づくセキュリティ対策として、Webブラウザを活用するという選択肢ランサムウェアに強いバックアップシステムとは? クラウドでの保管やサーバOSの堅牢性がポイント
最新の調査結果から見るサイバー犯罪の動向と、侵入済み脅威を無力化する方法
クラウドファースト化が進む中で懸念される課題とは? セキュリティのスキル不足をAIや自動化で補う
セキュリティの基本を知る! オススメ記事
いかにセキュリティを強化するか? ランサムウェア対策の実践方法セキュリティの基本 - 企業と個人のマルウェア対策ガイド
押さえておきたいセキュリティのキーワードを解説 - EDR、MDR、XDRとは?
セキュリティリスク低減のために何をすべきか - エンドポイント対策の基本を解説
セキュリティ強化の新たな概念を学ぶ - サイバーレジリエンスがなぜ重要なのか
ゼロトラストを基本から解説! “誰も信頼しない”セキュリティとは?
ネットワークセキュリティを高めるには? 押さえておきたいSASEの基本
知っておきたいサイバー攻撃 - 動向と対策
3つの層に分けて考える、サイバー攻撃への対策とは
情報遺産を守るために必要なネットワークセキュリティの基本
フィッシング攻撃のリスクと影響
個人を対象としたフィッシング攻撃の場合、その目的の多くは金銭である。銀行口座のログイン情報が窃取された場合、不正送金に利用されるなどのリスクが考えられる。
企業の場合、リスクの範囲はさらに拡大する。まず情報漏えいのリスクだ。加えてもちろん、金銭被害というリスクもある。さらにIDやパスワードなどを窃取されることにより、企業システムにおけるランサムウェア感染などの被害を受ける可能性も高まる。
個人のフィッシング攻撃対策
ではフィッシング攻撃に対して、どのような対策をとるべきなのか。
個人向けの攻撃に対して、徳丸氏は「SMSや電子メールで届いたURLにはアクセスしないと決めるべき」だとアドバイスする。アクセスしなければ、フィッシング攻撃の被害に遭うことはない。
とはいえ、「料金が支払われていません」というような内容に不安になり、確認をしたくなるのももっともだ。そのような際には、文面に記載されているURLを直接クリックするのではなく、ブラウザに登録している、あるいは信頼できるサイトからリンクされている正規のWebサイトでログインをすることが推奨される。
「ドメイン名で見分けることもできますが、正しいドメイン名を覚えていない人も多いでしょう。また、フィッシング攻撃における偽サイトの多くは、正規サイトのHTML・CSS等をコピーして作成するので、画面から本物か偽物かを見極めるのは極めて難しい。セキュリティの専門家でも見た目では判断がつかない場合が多いです」(徳丸氏)
企業のフィッシング攻撃対策
企業の場合には、どのような対策があるのか。
徳丸氏は「ユーザーとしてではないが、Webサイトを運営する側として、自分たちのユーザーを守るために」という観点で認証強化を挙げる。そのうえで、「よく名が挙がる対策に多要素認証の導入があるが、現在のフィッシング攻撃は多要素認証を突破できる」と警鐘を鳴らす。
多要素認証を突破する手法として同氏が挙げたのが「リアルタイム中継型フィッシング」だ。
旧来のフィッシングサイトは、偽のログイン画面を用意し、そこにID・パスワードを入力させることでログイン情報を窃取していたが、この手口では多要素認証を組み込んだWebサイトを突破できない。そこで、偽サイトに入力された情報を裏側で正規サイトへリアルタイムに転送し、正規サイトからの応答結果も偽サイト上に表示するという方法で、ユーザーの操作を継続しながら、情報を窃取するという仕組みだ。
例として、SMSでワンタイム認証コードを送信する二要素認証ログインを考えてみる。ID・パスワードが入力されたのが偽サイトだとしても、その情報がそのまま正規サイトに転送されれば、正規サイトは次のステップである「SMSでワンタイム認証コードを送信し、リクエストしてきた偽サイトに対して認証コードを入力する画面(HTML・CSS等)を送る」という処理を実行することになる。偽サイトは、正規サイトが応答として送ってきた認証コード入力画面をそっくりそのまま表示しておけば、ユーザーは正規サイトからSMSで受け取った認証コードを入力してくれる。偽サイトは、再度それを正規サイトに転送すれば、ログインが完了することになる。その後も、同じ仕組みで偽サイトの運営者はユーザーにバレることなく情報を窃取できるうえ、正規サイトでのユーザーの登録情報を書き換えることも可能だ。
それではどのような対策が有効なのか。同氏は以下の4つの対策を挙げた。
パスキー認証の導入
徳丸氏が「フィッシング対策の決定版として期待されている」としたのがパスキー認証の導入である。パスキー認証は公開鍵暗号方式を活用した認証方式で、非常に認証の強度が高いうえに、フィッシング耐性を持つように設計されているというメリットがある。
また、そもそもID・パスワードのように、情報が漏えいすると誰でも悪用できてしまう性質のものではないため、安全性が高いと言える。
一方で、認証情報はOSやサービスごとに管理されるため、例えば、macOSのサービス内やGoogleアカウントのサービス内でしか共通して利用できないという点や、まだ実装が統一されておらずサイト毎の利用方法にばらつきがあり初心者が戸惑いやすいといった点がデメリットとなっている。
パスワード管理ツールの利用
次に挙げられる対策として、パスワード管理ツールの利用がある。パスワード管理ツールにはWebブラウザに組み込まれたものやアカウントサービスに関連づけられているもの、あるいは独立したアプリケーションとして提供されているものがあるが、いずれもフィッシング攻撃への対策として一定の効果がある。
このツールを利用して特定のWebサイトでログインしようとすると、ツールが自動的にURLを判定し、(あらかじめ設定した)各Webサイトに対応するIDとパスワードが入力される。もし見た目が正規サイトとまったく同じ偽サイトであっても、URLが異なればIDとパスワードが反映されないため、フィッシングサイトであることが判別できる。
パスワード管理ツールを利用している場合に、「PC、スマートフォン、Webブラウザやパスワード管理ツールが乗っ取られたらIDやパスワードがまとめて流出してしまうのでは」という心配の声もあるが、徳丸氏は「どのリスクを重視するかが重要」だと指摘。そのうえで、「攻撃者からすると、各サービスのログイン情報を窃取するほうが簡単であるし、端末やWebブラウザが乗っ取られているのであれば、それはだいぶ侵攻が進んでいる状態。特に企業において初期侵入を防ぐという観点では、ID・パスワードを人間が個別管理するよりもリスクは低減できるはず」と続けた。
メールセキュリティの強化
徳丸氏によると、Gmailなどに付帯するセキュリティ機能を利用することも、フィッシング攻撃への有効な対策の1つとなる。迷惑メールフォルダへの振り分け機能などは「かなり有効に働いている」(徳丸氏)という。利用しているサービスの基本的なセキュリティ機能をうまく活用することも重要なのだ。
セキュリティ教育の実施
「セキュリティ教育はもちろん重要」だと徳丸氏は強調する。フィッシング攻撃という脅威があり、どのようなリスクがあるのか、どんな対策をすべきなのか、もしも被害にあったらどのように報告をするかなどを従業員に周知することで、安易に不審なURLにアクセスしてしまう可能性を低減でき、また万一被害にあった場合の損害を最小限に留めることができる。
同氏が悪い例として挙げたのは、せっかくパスワード管理ツールを導入していても、それが役に立たなかったケースだ。誘導された偽装サイトにアクセスした際、URLが異なることからツールがIDとパスワードが自動入力しなかったのにもかかわらず、わざわざ従業員が手入力してしまうケースも珍しくないという。また、フィッシング対策ソリューションやWebブラウザに組み込まれたURLフィルタリング機能により強い警告が出たにもかかわらず、従業員がわざわざ除外設定を行ってアクセスした事例も多いという。
このような例は、企業側がフィッシング攻撃のリスクや対策を事前に徹底して伝えられていれば、防げた可能性が高い。そういった意味でも、日ごろからセキュリティ教育に取り組んでおくことが望まれる。
最新のフィッシング攻撃の傾向
徳丸氏によれば、個人を対象としたフィッシング攻撃は個人向けのサイバー攻撃のなかでも「相当上位の脅威に位置している」という。攻撃者視点で言えば、容易に金銭を手に入れられる手段だということだ。
また、企業向けのサイバー攻撃としてはVPNの脆弱性を突いてネットワークに侵入する手口が主流だというが、クラウドへの移行が進んでいることもあり、「企業を対象にした標的型のフィッシングにも警戒しなければならない」(徳丸氏)そうだ。
* * *
日常生活や業務でも頻繁に利用する電子メールやSMSに端を発するフィッシング攻撃。そのリスクはますます高まっており、個人、企業ともにしっかりとした対策が必要だ。本稿を参考に、改めてフィッシング攻撃への理解を深め、対策を見直してもらいたい。
セキュリティ関連の注目ホワイトペーパー
ゼロトラストに基づくセキュリティ対策として、Webブラウザを活用するという選択肢ランサムウェアに強いバックアップシステムとは? クラウドでの保管やサーバOSの堅牢性がポイント
最新の調査結果から見るサイバー犯罪の動向と、侵入済み脅威を無力化する方法
クラウドファースト化が進む中で懸念される課題とは? セキュリティのスキル不足をAIや自動化で補う
セキュリティの基本を知る! オススメ記事
いかにセキュリティを強化するか? ランサムウェア対策の実践方法セキュリティの基本 - 企業と個人のマルウェア対策ガイド
押さえておきたいセキュリティのキーワードを解説 - EDR、MDR、XDRとは?
セキュリティリスク低減のために何をすべきか - エンドポイント対策の基本を解説
セキュリティ強化の新たな概念を学ぶ - サイバーレジリエンスがなぜ重要なのか
ゼロトラストを基本から解説! “誰も信頼しない”セキュリティとは?
ネットワークセキュリティを高めるには? 押さえておきたいSASEの基本
知っておきたいサイバー攻撃 - 動向と対策
3つの層に分けて考える、サイバー攻撃への対策とは
情報遺産を守るために必要なネットワークセキュリティの基本
Google Playに300超のAndroidマルウェア、6,000万回ダウンロード
