人間こそ脆弱性! 巧妙化が加速するフィッシング/ビジネスメール詐欺から企業を守るには (1/3):EnterpriseZine(エンタープライズジン)
Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

人間こそ脆弱性! 巧妙化が加速するフィッシング/ビジネスメール詐欺から企業を守るには

2017/08/02 06:00

 サイバーセキュリティやコンプライアンスのソリューションを提供する日本プルーフポイントは、サイバー攻撃のトレンド調査レポート「Human Factor 2017 日本語版」を公開した。このレポートは、2016年の1年間に同社の顧客企業の解析データを分析したもの。今どのような攻撃経路や攻撃手法があるかを報告しているが、特に近年は人間の弱点を狙うものが増えている警告を発する。また、公開に合わせて、米プルーフポイント ディレクター、サイバーセキュリティストラテジーのジェニファー・チェン氏が来日。記者発表会においてレポートの内容を解説した。本稿ではその模様と、記者発表会後に行ったチェン氏へのインタビューを掲載する。

プルーフポイントについて

 プルーフポイントはサイバーセキュリティやコンプライアンス、なかでもメールセキュリティについて長く取り組む米国企業。同社のサービスはフォーチュン100企業の半数以上で導入され、顧客は世界で5000社以上にわたるという。同社のサービスが処理するメールは最大規模の企業で1社1日あたり10億通以上に及び、独自の可視化を行っているのが強み。メール以外にも2500万以上のモバイルアプリのスキャンを行っている。

 ▶「Human Factor 2017 日本語版」の概要とダウンロードはこちらから。

人間はどのようなときにクリックしてしまうのか

 メールを用いたサイバー攻撃の典型は、有名なメーカーやブランド、あるいは実在の人物からのメールと見せかけて添付ファイルを実行させたり、ニセのサイトをクリックさせたりして、悪意のあるプログラムを被害者のマシン上で実行させるものだ。そうしてマシンを乗っ取って情報を盗んだり、後日そのマシンを別の攻撃に使用したりする。このような悪意のあるプログラムのことを、マルウェアやエクスプロイトという[1]

 サイバー攻撃をしかける側はメールの内容を高度にパーソナライズするなど、手口をますます巧妙化させている。とりわけ注意を要するのが、「クレデンシャル(認証情報)フィッシング」と「ビジネスメール詐欺」である。

 クレデンシャルフィッシングは、いわゆる「フィッシングメール[2]」ともいわれる詐欺メールを使って行われる。詐欺メールの90%以上は認証情報、つまりシステムにログインするための情報(多くがIDとパスワードなど)を盗むためのWebページに誘導するものだ。メール本文で「(何か問題が起きたから)ここをクリックしてください」と誘導し、その遷移先でニセのログイン画面を表示してログイン情報などを入力させる。

 クレデンシャル(認証)情報を得ることができれば、その人物が持つ権限が手に入る。攻撃者はその人物になりすましてメールを送信したり、ソーシャルメディアでニセの情報を流したりできる。

 なお、フィッシングメールに関しては釣り用語がよく用いられる[3]。攻撃側にとって獲物は人間や人間が持つ認証情報だ。そのため、攻撃者のことを「アングラー(釣り人)」、攻撃者が送るメールを「ルアー(疑似餌)」、高度に狙いを定めた攻撃を「スピアフィッシング(魚突き)」などといったりする。

米プルーフポイント ディレクター、サイバーセキュリティストラテジー ジェニファー・チェン氏
ジェニファー・チェン氏
プルーフポイント本社のサイバーセキュリティストラテジー ディレクター。最新の攻撃から人やデータをより安全に保護し、コンプライアンスリスクを緩和する支援に専念。10年以上にわたり、新しいテクノロジーや業界動向に関するITコンサルティングと教育を行う。プルーフポイント以前は、シスコシステムズ、セールスフォース、WatchDox(BlackBerryによって買収)で戦略的、技術的な役割を果たす。ミシガン大学アナーバー校でコンピュータサイエンス工学の学位を、ペンシルベニア大学ウォートンスクールでMBAを取得。

 ユーザーが不正なURLをクリックする場所は、PCからモバイル端末へと移ってきている。2014年には全体の91%がWindows PCでクリックされていたが、2016年には44.7%と2年間で半減。代わりに2016年にはAndroidが37%、iOSが5.2%とモバイル端末の割合が増えてきている。また、Windows PCでのクリックの66%(全体の29%)がメインストリームサポートの終了したWindows 7、19%(全体の8.5%)がセキュリティパッチの提供が終了したWindows XPなどとなっており、気になるところだ。

 不正なURLの平均クリック率は4.6%。業種別に多少ばらつきがあり、あまりデジタル化が進んでいない古い業種のほうがクリック率が高い傾向にある。時間帯別に見ると始業後の8~9時台とランチタイムの12時台、この2つがピークとなる。また、就業時間内であれば、ユーザーのメールボックスに届いてからクリックされるまでの平均時間は1時間未満。25.5%は10分以内にクリックされている。

 クレデンシャル(認証情報)フィッシングでルアー(餌)となるメールのトップ3は次のとおり。これら3つでルアーの半数以上を占める。

  • Appleアカウント
  • Microsoft OWA(Outlook Web Access)
  • Googleドライブ

 攻撃者はそれぞれ本物らしいメールを送信し、受信者がクリックして食らいつくのを待つ。ちなみに、2016年以前にはFacebookやTwitterなどSNSアカウントが上位にいたという。

[1]: 少し前に、WannaCryというマルウェアが世界中で猛威を振るったが、これはランサムウェアと呼ばれる身代金目的のマルウェアだ。エクスプロイトは、コンピュータの脆弱性を悪用するプログラムのこと。

[2]: フィッシングメールは人にアクションを起こさせる点で、単純な詐欺メールと異なる。

[3]: ただし、英語での綴りはfishingではなく、phishingである。

※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online&nbs...

  • 市古 明典(編集部)(イチゴ アキノリ)

    うさぎ化してますが、1972年の子年生まれ。宝飾店の売り子、辞書専門編集プロダクションの編集者(兼MS Access担当)を経て、2000年に株式会社翔泳社に入社。月刊DBマガジン(休刊)、IT系技術書・資格学習書の編集を担当後、2014年4月より開発者向けWebメディア「CodeZine」の編集に...

All contents copyright © 2007-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5