SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2021レポート(PR)

「攻撃者はシステムではなく人を狙う」高度化するメールからのサイバー攻撃の最新動向と対処法

 セキュリティ対策の技術は年々進化すれど、サイバー攻撃は防衛をすり抜けるように巧妙さを増している。特に人間の脆弱性が狙われているところに警戒したい。たとえばメールを受信しただけでは何も起こらないものの、ユーザーがURLをクリックしてしまう、あるいは添付ファイルのマクロを有効にしてしまうなど、攻撃者にはめられてしまっているようなものだ。人間を中心に考え、セキュリティ業務の自動化と効率化を実現するプルーフポイントのソリューションを詳しく解説する。

システムよりも人間の脆弱性を狙う攻撃がますます増えている

日本プルーフポイント株式会社 セールスエンジニアリング部 シニアセールスエンジニア/CISSP 佐藤 剛

スピーカー
日本プルーフポイント株式会社 セールスエンジニアリング部 シニアセールスエンジニア/CISSP 佐藤 剛

 脅威は日々変化している。スパム、エクスプロイトキット、添付ファイルのマクロがあり、近年ではBEC(Business Email Compromise/ビジネスメール詐欺)やEAC(Email Account Compromise/メールアカウント侵害)、サプライチェーンリスクが大きな脅威になっている。

 最新の脅威動向を見ると、人為的に引き起こされるものが上位を占めている。たとえば、メールにあるURLをクリックしてしまう、その先の不正なページでクレデンシャルを入力してしまう、添付ファイルのマクロを有効にしてしまうなどだ。近年では防御のテクノロジーが向上しているため、技術的には高度でなくても人間の隙をつくような攻撃のほうが成功しやすい。騙すテクニックがますます巧妙になってきているのだ。

 プルーフポイントの調査によると、成功するかどうかは別として、ほとんどの企業がブルートフォースアタック(総当たり攻撃)を経験している。クレデンシャルフィッシング攻撃の被害に遭った組織は57%。侮れない数字だ。

 攻撃者は常にルアー(ユーザーを引っ掛ける罠)を変える。昨年なら「コロナウイルス」「マスク」、最近なら「デルタ株」「ワクチン」など、ユーザーの関心を引きつけて認証情報を入力させようとする。普段なら無視できても、タイミングが重なるとうっかりひっかかってしまうことがある。他にもOAuthアプリケーションを悪用する攻撃、多要素認証を回避するテクニックもある。

 攻撃者が何らかの形でクレデンシャル(認証情報)を入手すると、メールや関連するプラットフォームが悪用されてしまう。プルーフポイントによると、2020年にプルーフポイントの顧客が受け取ったメッセージのうち、Microsoft 365やGoogle Workspaceなどから送信されたものが数千万通にもおよぶ。盗んだクレデンシャルでログインして送信しているので、メールアドレスやドメインでブロックしようがなく、実際にブロックしてしまうと業務に支障が出てしまう。日本プルーフポイント佐藤剛氏は「いかに早期に脅威を検知し、ピンポイントにブロックすることが大事です」と話す。

 ランサムウェアも進化している。当初は感染した端末のデータを破壊する程度だったものの、最近では組織全体に影響が及ぶようになってきている。サンドボックスを回避するなど、巧妙に進化している。

 最近では大規模なランサムウェア被害が報じられているが、実はBECの損失額は約19億ドルでランサムウェアをはるかにしのぐ。BECはサイバー攻撃というよりは、デジタルなコミュニケーション手段を介して働く詐欺のようなもの。典型的なケースだとメールで企業の役員や会計担当者を装い偽の振込依頼、あるいは取引先を装い偽の振込先変更を指示する。98%の組織がサプライヤーのドメインからの脅威メールを受信しており、大きな脅威になっている。佐藤氏は「74%の脅威がフィッシングやなりすまし」と指摘する。

 サイバー攻撃は事業継続性を脅かすリスクであり、重要な経営課題だ。リモートワークや働き方の多様化で境界型防御の効力は薄れてきており、脅威は高度化、巧妙化している。もし情報漏えいが生じれば、システムダウン、顧客喪失、評判低下などに被害が波及する。プルーフポイントの試算ではこれらの情報漏えいの平均総コストは4億3,500万円。これだけ脅威がありながらもセキュリティ人材は不足しており、事態は深刻だ。

 現状のリスクに応じたセキュリティ対策ができているか、今一度、戦略や投資を見直す必要がある。最近の脅威動向から考えると、盲点となりやすいのが内部からの情報漏えい。最も多い攻撃経路となるメールの防御、従業員のトレーニングも必要だ。

 佐藤氏はニューノーマル時代のゼロトラストセキュリティのポイントとして、人を基点にセキュリティを構築すること、人の特性に合わせて制御すること、インシデント対応時間を短縮できるようなレジリエンスの構築を挙げる。それぞれ追って詳しく解説する。

次のページ
メールのドメインなりすまし対策に有効なDMARC 仕組みと設定方法は?

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
Security Online Day 2021レポート連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/15029 2021/10/14 11:00

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング