システムよりも人間の脆弱性を狙う攻撃がますます増えている
スピーカー
日本プルーフポイント株式会社 セールスエンジニアリング部 シニアセールスエンジニア/CISSP 佐藤 剛
脅威は日々変化している。スパム、エクスプロイトキット、添付ファイルのマクロがあり、近年ではBEC(Business Email Compromise/ビジネスメール詐欺)やEAC(Email Account Compromise/メールアカウント侵害)、サプライチェーンリスクが大きな脅威になっている。
最新の脅威動向を見ると、人為的に引き起こされるものが上位を占めている。たとえば、メールにあるURLをクリックしてしまう、その先の不正なページでクレデンシャルを入力してしまう、添付ファイルのマクロを有効にしてしまうなどだ。近年では防御のテクノロジーが向上しているため、技術的には高度でなくても人間の隙をつくような攻撃のほうが成功しやすい。騙すテクニックがますます巧妙になってきているのだ。
プルーフポイントの調査によると、成功するかどうかは別として、ほとんどの企業がブルートフォースアタック(総当たり攻撃)を経験している。クレデンシャルフィッシング攻撃の被害に遭った組織は57%。侮れない数字だ。
攻撃者は常にルアー(ユーザーを引っ掛ける罠)を変える。昨年なら「コロナウイルス」「マスク」、最近なら「デルタ株」「ワクチン」など、ユーザーの関心を引きつけて認証情報を入力させようとする。普段なら無視できても、タイミングが重なるとうっかりひっかかってしまうことがある。他にもOAuthアプリケーションを悪用する攻撃、多要素認証を回避するテクニックもある。
攻撃者が何らかの形でクレデンシャル(認証情報)を入手すると、メールや関連するプラットフォームが悪用されてしまう。プルーフポイントによると、2020年にプルーフポイントの顧客が受け取ったメッセージのうち、Microsoft 365やGoogle Workspaceなどから送信されたものが数千万通にもおよぶ。盗んだクレデンシャルでログインして送信しているので、メールアドレスやドメインでブロックしようがなく、実際にブロックしてしまうと業務に支障が出てしまう。日本プルーフポイント佐藤剛氏は「いかに早期に脅威を検知し、ピンポイントにブロックすることが大事です」と話す。
ランサムウェアも進化している。当初は感染した端末のデータを破壊する程度だったものの、最近では組織全体に影響が及ぶようになってきている。サンドボックスを回避するなど、巧妙に進化している。
最近では大規模なランサムウェア被害が報じられているが、実はBECの損失額は約19億ドルでランサムウェアをはるかにしのぐ。BECはサイバー攻撃というよりは、デジタルなコミュニケーション手段を介して働く詐欺のようなもの。典型的なケースだとメールで企業の役員や会計担当者を装い偽の振込依頼、あるいは取引先を装い偽の振込先変更を指示する。98%の組織がサプライヤーのドメインからの脅威メールを受信しており、大きな脅威になっている。佐藤氏は「74%の脅威がフィッシングやなりすまし」と指摘する。
サイバー攻撃は事業継続性を脅かすリスクであり、重要な経営課題だ。リモートワークや働き方の多様化で境界型防御の効力は薄れてきており、脅威は高度化、巧妙化している。もし情報漏えいが生じれば、システムダウン、顧客喪失、評判低下などに被害が波及する。プルーフポイントの試算ではこれらの情報漏えいの平均総コストは4億3,500万円。これだけ脅威がありながらもセキュリティ人材は不足しており、事態は深刻だ。
現状のリスクに応じたセキュリティ対策ができているか、今一度、戦略や投資を見直す必要がある。最近の脅威動向から考えると、盲点となりやすいのが内部からの情報漏えい。最も多い攻撃経路となるメールの防御、従業員のトレーニングも必要だ。
佐藤氏はニューノーマル時代のゼロトラストセキュリティのポイントとして、人を基点にセキュリティを構築すること、人の特性に合わせて制御すること、インシデント対応時間を短縮できるようなレジリエンスの構築を挙げる。それぞれ追って詳しく解説する。
