あのEmotetもフィッシング?
~ フィッシング詐欺を読みとき、企業がとるべき対策を考える

Share

いま、インターネットを「フィッシングとは」で検索すると、実にたくさんのサイトが見つかります。その説明を最大公約数的にまとめると、次のような感じです。

フィッシング詐欺とは、偽サイトを作ってオンラインバンキングなどのIDとパスワードを盗み不正送金等を行うもので、ユーザは騙されないように正しいURLかどうかを検証したり、メールの日本語に不自然な点はないかを慎重に確認することが求められます。

確かにそのとおり…なのですが、でも、「これで十分なのか?」と思いませんか? たとえば、「この日本語、完璧…。自分よりうまい」と、偽メールを見て感じたことはないでしょうか。また、偽サイトが作られた場合、本物のサイトを運営している企業はどうすればよいのでしょう。本記事では、フィッシングの最新の脅威動向を踏まえながら、法人視点でフィッシングへの対策を考えます。

フィッシングとは

フィッシングとは、電子通信において、信頼できる存在になりすまして、ユーザ名やパスワード、クレジットカード情報などの機密情報やデータを入手する詐欺的な行動のことを指すとされています。信頼できる存在になりすます点で、ソーシャルエンジニアリングのひとつです。魚釣りの「Fishing」の「F」を「Ph」にした「Phishing」と表記され、語源には諸説あります。

なお、日本では、「フィッシング詐欺」という言い方が使われることが多いです。「フィッシング」という言葉自体にすでに「詐欺」の意味が含まれているため厳密には重ね言葉なのですが、カタカナのみの語句よりも直感的な分かりやすさはあるといえるでしょう。

銀行が本腰を入れたフィッシング詐欺対策の成果

日本では、都市銀行や地方銀行などの金融機関が、フィッシング詐欺の危険性を訴える啓発キャンペーンを組織的に行ってきました。その結果、フィッシングといえば、偽サイトなどに誘い込んでIDとパスワードを不正に入手するサイバー攻撃であるというイメージが定着し、前述のような「正しいURLかどうかを点検する」「メールの日本語に不自然な点はないかを確認する」といった対策が普及してきました。しかし、これがフィッシングのすべてを表すわけではもちろんありません。

フィッシングの目的とは

サイバー攻撃の包括的フレームワークとして知られるMITRE ATT&CKでは、「フィッシング」は、メールの添付ファイル、メールのリンクのほか、ソーシャルメディア等のサードパーティサービスを用いて実行されると記載されています。また、その主な目的は、標的のシステム上で悪意のあるコードを実行すること、または、有効なアカウントを利用するためのクレデンシャル(身元識別に用いられるID、パスワードなどの情報)を収集すること、とされています。

あのEmotetがやっていることもフィッシング?

2020年に国内で多数の被害が確認されたマルウェア「Emotet」は、PCやブラウザに保存されたクレデンシャルを盗む活動を行ったり、「Trickbot」などのトロイの木馬をダウンロードして、「Ryuk」などのランサムウェアを展開することがわかっています。

Emotetは、ユーザをわざわざ偽サイトに誘導してからクレデンシャルを盗るような悠長なことはしません。ですから、IDとパスワードをうっかり入力して盗られて不正送金されて大変!という、都銀地銀が注意喚起するタイプのフィッシングとは異なりますが、 上記MITRE ATT&CKのフレームワークを踏まえると、明らかに「フィッシングを行うマルウェア」と言えるでしょう。

フィッシングの手法と手口

フィッシングでは、攻撃者は「信頼できる」とみなされる存在を何らかの形で装い、標的を罠にかけます。たとえば、本物そっくりのサイト、もっともらしい文面のメール、もっともらしい名前のファイルなどがそうです。

なお、フィッシングの中でも、特定の企業や個人を狙ったものは「スピアフィッシング」と呼ばれており、攻撃側は、目的を達成するために、標的を徹底的に研究し、特定の相手にとって不自然さを感じさせないメールやフォームを作りこみます。なお、スピアフィッシングにおいて、上級管理職など、組織の重要人物を狙った攻撃は「ホエーリング(「捕鯨」の意)」と呼ばれます。

関連した手法として、DNSの設定を書き換えて偽サイトに誘導する「ファーミング」、電話などの音声通話を用いた「ヴィッシング」、SMSを使う「スミッシング」どもあり、その手口はさまざまです。

フィッシングのターゲットと被害件数

2020年6月にフィッシング対策協議会が公開した「フィッシングレポート2020」によると、フィッシングサイトのURL件数を用いた分析の結果、2019年において最も狙われたビジネス領域はクラウドコンピューティングサービス(2,106件)でした。次いでネットショップ・ECサイト(1,256件)、銀行(882件)、通信事業者(421件)、クレジットカード(350件)の順となっており、これら上位5つのビジネス領域で、件数全体の約8割を占めることが明らかになっています。トップのクラウドコンピューティングサービスが、2位以降を大きく引き離している点に注目しましょう。

「フィッシングと聞くと、銀行の不正送金を連想してしまう」という方は、認識のアップデートが必要かもしれません。なお、同協会に届け出られたフィッシング報告件数自体も、前年比2.8倍(55,787件)というペースで大きく伸びており、この点にも警戒が必要です。

企業にとっての2つのフィッシング脅威

企業にとってのフィッシングの脅威は、大きく2つに分けられるといえます。ひとつは、自社の従業員がフィッシングの餌食になってしまうこと、もうひとつは、自社ブランドをかたるフィッシングサイトが、世界のどこかの国のサーバに立ち上げられてしまうことです。前者においても大きな被害が発生する可能性はありますが、後者の場合は、自分たちのブランド名のもと多くのユーザが被害にあってしまうという点で、次元の違うインパクトを引き起こしかねません。

もし自社のフィッシングサイトが立ち上げられてしまった場合、本物のサイトを運営する自分たちに過失があったか否かにかかわらず、社会的信頼の失墜や、ユーザ離れなどが生じる可能性があります。

無料で依頼できるテイクダウン(閉鎖)

もしフィッシングサイトを立ち上げられてしまった場合、そのサイトを閉鎖するためのアクションを早急に行う必要があります。このアクションのことを「テイクダウン」と言いますが、実は、それに無料で対応してくれる機関があります。一般社団法人JPCERTコーディネーションセンターです。同センターでは、「インシデント対応依頼」という窓口を設けており、企業に代わって、サイト管理者へフィッシングサイトが公開されていることを連絡しフィッシングサイトの停止を依頼してくれます。フィッシングサイト以外にも、複数のインシデントへの対応依頼が可能ですので、ぜひ一度チェックしてみてはいかがでしょうか。

企業にとってのフィッシング対策

自社がフィッシングの標的となった場合に被害を未然に食い止め、もしフィッシングサイトが作られてしまったとしてもその被害を最小に食い止める――これは、Webサイトを持つすべての企業が取り組むべきセキュリティ課題といえるでしょう。では、具体的にどうすればよいのか。例として、フィッシング対策協議会による「重要5項目」をご紹介しましょう。

1.利用者に送信するメールには「なりすましメール対策」を施すこと
2.複数要素認証を要求すること
3.ドメインは自己ブランドと認識して管理し、利用者に周知すること
4.すべてのページにサーバ証明書を導入すること
5.フィッシング詐欺対応に必要な組織編制とすること

あなたの会社の取り組みは、いかがでしょうか?もし、どこから手を付けてよいのかわからない、ということであれば、セキュリティ専門企業に相談されることをおすすめします。

もしフィッシングの被害にあったら

それでは、自社の従業員がフィッシングの被害にあうことを防ぐにはどうすればいいでしょうか。

いわく「メールの送信元を確認する」「メールやSMSの文面に違和感がないかチェックする」「正しいURLか確認する」等々…。冒頭でも述べましたが、検索上位に並ぶこうした対策は、一昔前から変化がありません。もちろん、いずれも間違ってはおらず、こうした基本的啓発活動の重要さは今後も変わることはないのですが、攻撃者の技術力は日進月歩です。たとえば今日、偽メール文を見て日本語の不自然さをみじんも感じない、というケースは少なくありません。

基本対策を実践するのはまず当然として、今後は、「騙されてしまうことはあり得る」と想定し、被害前提・侵入前提での対策も考える必要があります。BBSecでも、この認識のもと、「もしフィッシングにひっかかってしまった場合、どこまで企業の資産に被害が及ぶのか、その結果、どれだけビジネスインパクトがあるのか」を検証するサービスを提供しています。

まとめ

  • フィッシングとは、信頼できる存在を装って、守秘性の高いデータの取得を図るサイバー攻撃です。
  • フィッシングの一環として、悪意のあるコードを実行する活動が行われることもあります。その意味で、あのEmotetでやられていることもフィッシングといえます。
  • フィッシングの攻撃対象としては、銀行やECサイトが連想されがちですが、実はもっとも多いのはクラウドコンピューティングサービスです。
  • 自社ブランドのフィッシングサイトが立ち上げられてしまった場合、専門機関を介して閉鎖依頼をかけることができます。
  • フィッシングの手口は巧妙化・多様化しています。「騙されてしまうことはあり得る」と想定し、被害前提・侵入前提で対策をとることが必要です。

まずは無料で資料をダウンロード

SQAT®APTの詳しいサービス内容が記載されている資料がダウンロードできるURLをお送りいたします。
見積もりについてのご相談は、お問い合わせよりご連絡ください。


 

 

 

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

 

 

サービスに関する疑問や質問はこちらからお気軽にお問合せください。


 

 

 

 

Share