プルーフポイントについて
プルーフポイントはサイバーセキュリティやコンプライアンス、なかでもメールセキュリティについて長く取り組む米国企業。同社のサービスはフォーチュン100企業の半数以上で導入され、顧客は世界で5000社以上にわたるという。同社のサービスが処理するメールは最大規模の企業で1社1日あたり10億通以上に及び、独自の可視化を行っているのが強み。メール以外にも2500万以上のモバイルアプリのスキャンを行っている。
▶「Human Factor 2017 日本語版」の概要とダウンロードはこちらから。
人間はどのようなときにクリックしてしまうのか
メールを用いたサイバー攻撃の典型は、有名なメーカーやブランド、あるいは実在の人物からのメールと見せかけて添付ファイルを実行させたり、ニセのサイトをクリックさせたりして、悪意のあるプログラムを被害者のマシン上で実行させるものだ。そうしてマシンを乗っ取って情報を盗んだり、後日そのマシンを別の攻撃に使用したりする。このような悪意のあるプログラムのことを、マルウェアやエクスプロイトという[1]。
サイバー攻撃をしかける側はメールの内容を高度にパーソナライズするなど、手口をますます巧妙化させている。とりわけ注意を要するのが、「クレデンシャル(認証情報)フィッシング」と「ビジネスメール詐欺」である。
クレデンシャルフィッシングは、いわゆる「フィッシングメール[2]」ともいわれる詐欺メールを使って行われる。詐欺メールの90%以上は認証情報、つまりシステムにログインするための情報(多くがIDとパスワードなど)を盗むためのWebページに誘導するものだ。メール本文で「(何か問題が起きたから)ここをクリックしてください」と誘導し、その遷移先でニセのログイン画面を表示してログイン情報などを入力させる。
クレデンシャル(認証)情報を得ることができれば、その人物が持つ権限が手に入る。攻撃者はその人物になりすましてメールを送信したり、ソーシャルメディアでニセの情報を流したりできる。
なお、フィッシングメールに関しては釣り用語がよく用いられる[3]。攻撃側にとって獲物は人間や人間が持つ認証情報だ。そのため、攻撃者のことを「アングラー(釣り人)」、攻撃者が送るメールを「ルアー(疑似餌)」、高度に狙いを定めた攻撃を「スピアフィッシング(魚突き)」などといったりする。
ユーザーが不正なURLをクリックする場所は、PCからモバイル端末へと移ってきている。2014年には全体の91%がWindows PCでクリックされていたが、2016年には44.7%と2年間で半減。代わりに2016年にはAndroidが37%、iOSが5.2%とモバイル端末の割合が増えてきている。また、Windows PCでのクリックの66%(全体の29%)がメインストリームサポートの終了したWindows 7、19%(全体の8.5%)がセキュリティパッチの提供が終了したWindows XPなどとなっており、気になるところだ。
不正なURLの平均クリック率は4.6%。業種別に多少ばらつきがあり、あまりデジタル化が進んでいない古い業種のほうがクリック率が高い傾向にある。時間帯別に見ると始業後の8~9時台とランチタイムの12時台、この2つがピークとなる。また、就業時間内であれば、ユーザーのメールボックスに届いてからクリックされるまでの平均時間は1時間未満。25.5%は10分以内にクリックされている。
クレデンシャル(認証情報)フィッシングでルアー(餌)となるメールのトップ3は次のとおり。これら3つでルアーの半数以上を占める。
- Appleアカウント
- Microsoft OWA(Outlook Web Access)
- Googleドライブ
攻撃者はそれぞれ本物らしいメールを送信し、受信者がクリックして食らいつくのを待つ。ちなみに、2016年以前にはFacebookやTwitterなどSNSアカウントが上位にいたという。
注
[1]: 少し前に、WannaCryというマルウェアが世界中で猛威を振るったが、これはランサムウェアと呼ばれる身代金目的のマルウェアだ。エクスプロイトは、コンピュータの脆弱性を悪用するプログラムのこと。
[2]: フィッシングメールは人にアクションを起こさせる点で、単純な詐欺メールと異なる。
[3]: ただし、英語での綴りはfishingではなく、phishingである。
