SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

米プルーフポイント ジェニファー・チェン氏 インタビュー

人間こそ脆弱性! 巧妙化が加速するフィッシング/ビジネスメール詐欺から企業を守るには


 サイバーセキュリティやコンプライアンスのソリューションを提供する日本プルーフポイントは、サイバー攻撃のトレンド調査レポート「Human Factor 2017 日本語版」を公開した。このレポートは、2016年の1年間に同社の顧客企業の解析データを分析したもの。今どのような攻撃経路や攻撃手法があるかを報告しているが、特に近年は人間の弱点を狙うものが増えている警告を発する。また、公開に合わせて、米プルーフポイント ディレクター、サイバーセキュリティストラテジーのジェニファー・チェン氏が来日。記者発表会においてレポートの内容を解説した。本稿ではその模様と、記者発表会後に行ったチェン氏へのインタビューを掲載する。

プルーフポイントについて

 プルーフポイントはサイバーセキュリティやコンプライアンス、なかでもメールセキュリティについて長く取り組む米国企業。同社のサービスはフォーチュン100企業の半数以上で導入され、顧客は世界で5000社以上にわたるという。同社のサービスが処理するメールは最大規模の企業で1社1日あたり10億通以上に及び、独自の可視化を行っているのが強み。メール以外にも2500万以上のモバイルアプリのスキャンを行っている。

 ▶「Human Factor 2017 日本語版」の概要とダウンロードはこちらから。

人間はどのようなときにクリックしてしまうのか

 メールを用いたサイバー攻撃の典型は、有名なメーカーやブランド、あるいは実在の人物からのメールと見せかけて添付ファイルを実行させたり、ニセのサイトをクリックさせたりして、悪意のあるプログラムを被害者のマシン上で実行させるものだ。そうしてマシンを乗っ取って情報を盗んだり、後日そのマシンを別の攻撃に使用したりする。このような悪意のあるプログラムのことを、マルウェアやエクスプロイトという[1]

 サイバー攻撃をしかける側はメールの内容を高度にパーソナライズするなど、手口をますます巧妙化させている。とりわけ注意を要するのが、「クレデンシャル(認証情報)フィッシング」と「ビジネスメール詐欺」である。

 クレデンシャルフィッシングは、いわゆる「フィッシングメール[2]」ともいわれる詐欺メールを使って行われる。詐欺メールの90%以上は認証情報、つまりシステムにログインするための情報(多くがIDとパスワードなど)を盗むためのWebページに誘導するものだ。メール本文で「(何か問題が起きたから)ここをクリックしてください」と誘導し、その遷移先でニセのログイン画面を表示してログイン情報などを入力させる。

 クレデンシャル(認証)情報を得ることができれば、その人物が持つ権限が手に入る。攻撃者はその人物になりすましてメールを送信したり、ソーシャルメディアでニセの情報を流したりできる。

 なお、フィッシングメールに関しては釣り用語がよく用いられる[3]。攻撃側にとって獲物は人間や人間が持つ認証情報だ。そのため、攻撃者のことを「アングラー(釣り人)」、攻撃者が送るメールを「ルアー(疑似餌)」、高度に狙いを定めた攻撃を「スピアフィッシング(魚突き)」などといったりする。

米プルーフポイント ディレクター、サイバーセキュリティストラテジー ジェニファー・チェン氏
ジェニファー・チェン氏
プルーフポイント本社のサイバーセキュリティストラテジー ディレクター。最新の攻撃から人やデータをより安全に保護し、コンプライアンスリスクを緩和する支援に専念。10年以上にわたり、新しいテクノロジーや業界動向に関するITコンサルティングと教育を行う。プルーフポイント以前は、シスコシステムズ、セールスフォース、WatchDox(BlackBerryによって買収)で戦略的、技術的な役割を果たす。ミシガン大学アナーバー校でコンピュータサイエンス工学の学位を、ペンシルベニア大学ウォートンスクールでMBAを取得。

 ユーザーが不正なURLをクリックする場所は、PCからモバイル端末へと移ってきている。2014年には全体の91%がWindows PCでクリックされていたが、2016年には44.7%と2年間で半減。代わりに2016年にはAndroidが37%、iOSが5.2%とモバイル端末の割合が増えてきている。また、Windows PCでのクリックの66%(全体の29%)がメインストリームサポートの終了したWindows 7、19%(全体の8.5%)がセキュリティパッチの提供が終了したWindows XPなどとなっており、気になるところだ。

 不正なURLの平均クリック率は4.6%。業種別に多少ばらつきがあり、あまりデジタル化が進んでいない古い業種のほうがクリック率が高い傾向にある。時間帯別に見ると始業後の8~9時台とランチタイムの12時台、この2つがピークとなる。また、就業時間内であれば、ユーザーのメールボックスに届いてからクリックされるまでの平均時間は1時間未満。25.5%は10分以内にクリックされている。

 クレデンシャル(認証情報)フィッシングでルアー(餌)となるメールのトップ3は次のとおり。これら3つでルアーの半数以上を占める。

  • Appleアカウント
  • Microsoft OWA(Outlook Web Access)
  • Googleドライブ

 攻撃者はそれぞれ本物らしいメールを送信し、受信者がクリックして食らいつくのを待つ。ちなみに、2016年以前にはFacebookやTwitterなどSNSアカウントが上位にいたという。

[1]: 少し前に、WannaCryというマルウェアが世界中で猛威を振るったが、これはランサムウェアと呼ばれる身代金目的のマルウェアだ。エクスプロイトは、コンピュータの脆弱性を悪用するプログラムのこと。

[2]: フィッシングメールは人にアクションを起こさせる点で、単純な詐欺メールと異なる。

[3]: ただし、英語での綴りはfishingではなく、phishingである。

次のページ
横行するビジネスメール詐欺、CEOなどになりすましお金をだまし取る手口

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
この記事の著者

加山 恵美(カヤマ エミ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

市古 明典(編集部)(イチゴ アキノリ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/9605 2017/08/02 14:37

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング