フィッシングは何十年も前から存在していますが、現在でも最速で拡がり続ける最大のサイバー脅威です。新型コロナウイルス感染症の拡大以前からすでに大きな問題となっていましたが、それ以降さらに悪化しています。 FBI の Internet Crime Complaint Center (IC3) による最新の Internet Crime Report (インターネット犯罪レポート) によると、フィッシング詐欺関連の被害の件数は、2019 年から 2021 年にかけて 182% 増加しています。また、その数は報告されたフィッシング攻撃だけを反映したものであり、実数ははるかに多いと考えられます。
どのように考えても、サイバー攻撃者が人間の脆弱性を利用する試みに成功していることは明らかです。 それでも、プルーフポイントの「2022 State of the Phish」レポートによると、フィッシングとは何かを知っている社会人はわずか 53% でした。
組織として考えていただきたいことがあります。セキュリティ意識向上プログラムでフィッシングに焦点を当てる必要性です。あなたの会社の従業員のうち、フィッシングを理解している人が半分程度しかいないとすれば、サイバーセキュリティ意識向上の第一歩は、まずこの用語の意味を学んでもらうことです。
現在のサイバー脅威は、単なる技術的エクスプロイトではなく、人の関与に依存しています。 実際、Verizon の「2022 Data Breach Investigations Report」(2022 年データ漏えい調査レポート) で報告されているデータ侵害の 82% に人的要素が関わっています。 同レポートでは、この現実が「セキュリティ問題の中心は人である」と表現しています。攻撃者はソーシャル エンジニアリングを利用して人を騙し、危険な URL をクリックさせる、悪意のある添付ファイルを開かせる、認証情報を入力させる、機密データを送信させる、資金を転送させるなどを試みます。
フィッシングとは
フィッシングとは、ソーシャル エンジニアリングの一例で、偽造、誤認への誘導、嘘をはじめとする一連のテクニックであり、攻撃者が人の心理を操るために用いる方法です。
フィッシングメールはソーシャル エンジニアリングを利用してユーザーに考える隙を与えず、すぐさま行動するように促します。そしてフィッシング メッセージでユーザーを騙すことに成功した攻撃者は、その見返りとして機密データ、重要なシステムやネットワーク、クラウドアカウント、さらに金銭へのアクセスを手に入れることができます。
フィッシング メッセージのほとんどはメールで送信されます。 しかし、スミッシングやビッシング (テキストメッセージや音声変換ソフトウェアを使用してユーザーに SMS メッセージを送信する、または自動音声通話をかける) など別の方法で被害者にメッセージを送信する攻撃者もいます。
フィッシング メッセージにおける 3 つの主な脅威
フィッシングの意味についてユーザーの理解が深まったら、攻撃者がフィッシング メッセージの受信者を危険にさらすために用いる典型的な方法を説明しましょう。
悪意のあるリンク
攻撃者がフィッシング メッセージ内で悪意のある URL を使用することはよくあります。 ユーザーが悪意のあるリンクをクリックすると、なりすまし Web サイトやマルウェア (悪意のあるソフトウェア) に感染したサイトにリダイレクトされます。フィッシングメッセージでのこのようなリンクが信頼できる相手から送信されたものに見えるように、攻撃者はたいてい念入りに偽装します。そのために、企業のロゴを使用したり、信頼できるブランドや企業のものに似せた紛らわしいメール ドメインを登録したりするなどの手法が用いられます。
そして、攻撃者が成功する確率は非常に高いのです。 プルーフポイントの「2022 State of the Phish」レポートでは、10 人中 1 人がフィッシング攻撃シミュレーションで悪意のあるリンクをクリックすることが示されています。
感染した添付ファイル
マルウェアに感染した添付ファイルはコンピュータやファイルを侵害する可能性があります。また多くの場合、正規の添付ファイルのように見えます。プルーフポイントが顧客に行ったフィッシング攻撃シミュレーションでは、5 人中 1 人がメールの添付ファイルを開くことが確認されています。
フィッシングによりもたらされる被害についてユーザーに説明することが重要です。マルウェアへの感染やフィッシング攻撃で配信されるランサムウェアは、ネットワークに接続されたデバイス間で、さらにクラウドシステムへも簡単に拡散します。
不正リクエスト
こうしたリクエストは、メール受信者にログイン認証情報やクレジットカード情報をはじめとする機密情報を返信させるように考えられています。多くの場合、Webフォーム (税務署からの還付金に関するものなど) の形をとり、ユーザーに機密情報を入力させようとします。
ユーザーがフォームに入力して送信すると、悪意のある攻撃者は自らの利益のためにそのデータを利用できるようになります。
フィッシング攻撃はすべてソーシャル エンジニアリングを利用している
前述のとおり、フィッシング攻撃はソーシャル エンジニアリングの一種です。セキュリティ意識向上トレーニングでは、攻撃者が人の心理を利用してユーザーを操る次のような方法について注意を向けるとよいでしょう。
- ユーザーが知っていて信頼していると考えられる人などになりすます
- 恐怖などの感情を利用して (または失うことに対する恐怖心を刺激して) ユーザーがすぐに行動するよう促す
- あり得ないほどの (そして実際あり得ない) うまい話を約束する
また、悪意のある攻撃者は多くの場合、ユーザーが疲れていたり注意散漫になっていたりするなど、ユーザーのガードが緩むときに攻撃を仕掛けようとタイミングを見計らいます。また、多くの攻撃者はフィッシング攻撃を開始する前に、企業の支払い請求サイクルについて調べたり、重要な会議が開催される時を調べたりもします。
フィッシングがビジネスの収益に与える影響
エンドユーザーに対するセキュリティ意識向上プログラムの中で、重要なインシデントをいくつか示せば、フィッシング攻撃がビジネスに対してどれだけ損害を与えるかを強調することができます。この情報は上級管理職には特に説得力を持ちます。そのアクセスと権限により、上級管理職はフィッシング キャンペーンで攻撃者により標的とされる、またはなりすまされやすいユーザーであるためです。
実際にあった攻撃例をいくつかご紹介します。
- 2021 年の大規模なデータ侵害に関する和解提案において、米国の携帯電話事業者が、データが流出したとされる顧客に対して 3 億 5000 万ドルを支払うことに同意しました。このインシデントでは、7600 万人を超える顧客に影響が及びました。
- 米国大手小売業者のサプライヤーに送信されたフィッシング攻撃が、この小売業者の 1 億 1000 万人を超える顧客のクレジットカードおよび個人データを流出させる大規模なハッキングに発展しました。 小売業者はその後、この侵害にかかわる訴訟の和解でおよそ 3 億ドルを支払いました。
- 大手映画スタジオが、北朝鮮からと考えられる、大規模なデータ侵害に発展した攻撃キャンペーンの影響で、推定 1 億ドルの被害を受けました。 攻撃には、正規のソーシャルメディア アカウントから送信されたように見えるスピア フィッシングメール (組織内の特定の人を選んで送信される標的型攻撃) も利用されていました。
- 米国有数のテクノロジー企業 2 社 (1 社はソーシャルメディア プラットフォーム、もう 1 社はインターネット検索エンジン) が、高度なフィッシング攻撃で 1 億ドルを超える被害を受けました。攻撃者の取った方法は、偽の会社を作り、偽のメールと請求書を使用するという手の込んだものでした。
ユーザーが注意すべき独創的なテーマ
もちろん、サイバーセキュリティ意識向上トレーニングがユーザーの共感を得るには、フィッシング攻撃によりユーザー自身の利益もむしばまれる可能性があることを理解してもらうことが必要です。そして休暇が近づく今、次のようなフィッシング戦略に注意することを学んでもらうには絶好のタイミングです。
- オンライン ショッピング (「クリックして今すぐ注文すると 60% オフ!さらに、当社 Web サイトでご利用いただける 15 万円の無料お買い物券にご登録いただけます」など)
- 慈善 (「このホリデーシーズンの飢餓支援—大至急求む。このフォームを使って今すぐできる寄付をお願いします」など)
- 配送業者 (「商品を配送できませんでした。添付の配送情報をご覧いただき、ご注文の詳細をご確認ください」など)
その他、「ストリーミング詐欺」の可能性についてもユーザーに注意を促しましょう。この詐欺では、攻撃者が一般的なストリーミングサービスの正規プロバイダーを装い、特別サービスを持ちかける (「1 か月無料!」など)、またアカウントでの操作が必要だと思わせる (「メンバーシップを再有効化するために詳細情報を更新してください」など) といった手段をとります。
エンドユーザーがフィッシング攻撃を見分けるためのヒント
ユーザーがフィッシング詐欺に騙されないために簡単に実行できるアドバイスで、サイバーセキュリティ意識向上トピックに関するトレーニングを締めくくりましょう。内容は次のとおりです。
- メッセージが信頼できる人やブランドから送信されているように見えたとしても、送信者をすぐに信用しないこと
- 送信者のアドレスを精査し、リンクはすべて詳細に調べること
- リンクが指し示す Web サイトを確認するには、新しいウィンドウを開くこと
- 「アカウントの確認」や「今すぐログイン」のようなメール内の行動喚起をクリックしないこと
- ファイル共有リンクが必ずしも安全ではないと思うこと
そして最後に、疑わしいと考えられるメッセージはすべて報告するようユーザーに求めましょう。 メールの報告はサイバー対策において非常に重要です。そして、プルーフポイントの PhishAlarm フィッシング ボタンのようなツールがあれば、ユーザーは簡単に、注意深く積極的なガーディアンになれます。
無料のセキュリティ意識向上トレーニング素材
プルーフポイントの Cybersecurity Awareness Hub (サイバーセキュリティ 意識向上スタートキット) にも是非アクセスしてください。組織のセキュリティ意識向上トレーニング プログラムを形作るさらなるリソースをご覧いただけます。
また無料のセキュリティ啓蒙教育キットもご用意しています。ぜひ社内での啓蒙活動にお使いください。