DMARC以外の抑止策、速やかに発見し排除する
メールやメッセージソフトから誘導される先の偽サイトを速やかに発見し、排除する取り組みも重要だ。攻撃側の手順を追いながらDMARC以外の抑止策も考察してみよう。
多くの場合、攻撃者が最初に取り掛かるのが偽ドメインの用意だろう。よくある手口は、サイバースクワッティング(第三者が類似ドメインを取得して販売)されているドメインを買うか、タイポスクワッティング(入力ミスを想定した類似ドメインを取得する)だ。ホモグラフ攻撃(同形異字語攻撃)という、アルファベットをよく似たキリル文字や数字に置き換える手法もよく用いられる。
ドメインを短縮したように見せるパターンや、マイナーな国のドメイン、キャンペーンライクなキーワードとブランド名の組み合わせなどといった手口も合わせると、様々なパターンが考えられるため、ブランド側で予防的にそれらすべてを取得しておくのには限界がある。そんな時、フィッシングサイトを発見するソリューションやサービスを利用すれば、これらの組み合わせパターンを踏まえて、有効になっている類似ドメイン/サブドメインの候補を洗い出してくれる。
偽ドメインを用意できた攻撃者が、次に手がけるのは偽サイトの用意だ。最近は「メールやメッセージからリンクされた、個人情報やパスワードを入力する“一画面だけで”簡単に作られたページは怪しい」という認識が、徐々に消費者に浸透しつつある。そのため、サイトを本物に似せようと、サイトスクレイピングによる偽サイト構築が本格化する恐れがある。この場合は、スクレイパーボット対策を打っておくことで、こうした試みを抑止できる可能性がある。
すでに稼働しているフィッシングサイト、偽サイトをリアルタイムに発見していく対策も必要だ。主流な対策としては、類似ドメインサイトのクローリングや、ハニーポッド、ソーシャルメディアの監視などを行い、発見した偽サイトを報告するサービスを利用することが考えられる。
ただし、それを見越して偽サイト(ドメイン)の生成と、消滅のサイクルが非常に短くなってきている。フィッシング対策協議会の報告によれば、ドメイン名にランダム文字列のサブドメインを付け加え、「使い捨てURL」としてフィッシングメールに記載するケースが約47.4%と増加傾向にあるとのことだ。
最近では、偽サイトから本物のサイトに画像など一部コンテンツの読み込みリンクが貼られる傾向があることなどを利用して、これに対抗するためにサイトのアクセスログをAIで分析し、リアルタイムに近い形で検知する仕組みのソリューションなども、従来の手段にあわせて活用されている。
発見された偽サイトが詐欺行為目的であることが証明できれば、専門的なノウハウに長けたテイクダウンサービスを使ってサイトのドメインを無効化したり、Google Safe Browsingに申請するなどして、ユーザーがブラウザで危険なサイトにアクセスした場合に警告を表示したりする措置もとれる。
加えて、フィッシングによるパスワード窃盗をあらかじめ想定して、サイトを多要素認証(MFA)に対応させることで、不正ログインやアカウント乗っ取りによる実被害を抑える措置も忘れず実施しておきたい。MFAの方式では、SMSやメールを使った簡単なものや、FIDO2規格に対応したスマホの認証アプリ、さらに最近では、スマホのパスキー機能を使ったパスワードレス認証をユーザーに強く推奨するサイトも増えてきている。
何らかの手段でログイン認証が突破されたケースを想定して、不正な送金や購買などの実害につながる行動を阻止する仕組みの検討も必要だ。これを実現するためには、「行動的生体認証」という技術が利用できる。アクセス元の国や地域、利用しているデバイス、利用時間帯などいくつかの要素が普段と異なる行動を示した場合、高リスクのアクセスと判定し阻止アクションを取れるというものだ。Webアプリケーションの利用中にリアルタイムで判定できるソリューションなら、購買や決済などの重要なアクションの前に、高リスクと判定したアクセスをブロックしたり、より強力な多要素認証の要求を促したりすることで、犯行を阻止できる。
見えていない脅威は防げない
残念ながら、現在のフィッシングに対しては「これをやれば防げる」という決定打がない。さらに、攻撃者は防御側以上にAIを使いこなし、手口を巧妙に進化させつつある。現状、最も厄介なサイバー脅威のひとつといえるだろう。
今回列挙してみた推奨される対策の多さを見て、途方に暮れてしまう企業のセキュリティーチームも多いのではないだろうか。しかし、これらの複合的な対策を地道に積み上げていくことが、現状ではユーザーの被害を最小化するためのベストな対策だ。スクレイピングボット検知や、DNSに関連するソリューションなどいくつかの対策は、不正ログインなど他種の攻撃対策で導入したものが流用できるケースもあるため、目の届く範囲から対策を強化していくことをお勧めする。
ひとつ確かなのは、「見えていない脅威は防げない」ということだ。進化を続けるフィッシングやオンライン詐欺に対抗していくためには、まずWebセキュリティに留まらない広範な脅威の可視化が必要となる。同時に、「ブランドの毀損によって正規のメールやメッセージを顧客が信用しなくなり、開かない、読まなくなるという、顧客とのコミュニケーションチャンネルの喪失にともなうビジネスインパクトがどれほどのものか」という見識を、社内のセキュリティチーム以外にも持ってもらうことが、この対策を前に進める原動力となるに違いない。
