企業を狙いフィッシングメール攻撃に対応する方法まとめ

フィッシングメールは、長い間脅威組織がよく選択する侵入経路となっていますが、理由としては比較的簡単・安価・成功率が高いためです。

IBM X-Force Incident Response and Intelligence Services(IRIS)は、攻撃の3分の1はフィッシングメールを初期段階の攻撃手法として使用していることを発表しています。

State of the Phish: IBM X-Force Reveals Current Phishing Attack Trends
Phishing has long been an infection vector of choice for threat actors, and for good reason — it is relatively easy, inexpensive and consistently successful.
securityintelligence.com

フィッシングメールでは人間の感情や書かれた言葉に反応したくなる衝動を利用しており、従業員にセキュリティ意識向上トレーニングを受講させたとしても、攻撃者はロゴや言葉遣い・対象者が興味を持つ話題などを熟知しており本物そっくりのメールを作成する能力があるため、セキュリティに精通したユーザでも添付ファイルを開いたり、悪意のあるリンクをクリックしたりしてしまうのです。

多くのAPT(Advanced persistent threat)グループは、マルウェアやリモートアクセストロイの木馬(RAT)、悪意のあるリンクを受信者に配信する手段として、フィッシングを利用しています。

IBM X-Force IRISの調査によると、追跡しているAPTグループの84%がスピアフィッシングを主要な感染経路として使用しているとしています。

また、フィッシング攻撃は攻撃の初期段階であり、もし防御に成功すれば企業がサイバー攻撃の影響を受ける可能性とリスクに大きな違いが生じます。

X-Force IRISが2018年6月以降に観測した組織的なフィッシング攻撃のうち、42%がビジネスメール侵害(BEC)であることもわかっています。

ビジネスメール詐欺(business email compromise BEC)とは?

FBIによるとBEC詐欺は組織が被る可能性のある最も被害の大きいスピアフィッシング攻撃の1つであり、2019年9月時点で企業が受けた被害額は全世界で合計2兆6000億円(260億ドル)以上にもなります。

2018年9月から2019年9月までに統計によると、悪意のあるメールを送信した受信者のうち、平均して26.5%がそのメールに含まれるリンクをクリックしてしまっています。またほぼ確実に毎回少なくとも1人の受信者は、テストフィッシング攻撃に反応してしまっていました。

これらの結果は、従業員への教育だけでなくセキュリティ・チームの優先順位を予防よりもフィッシングメール対応に注力すべきであることを示唆しています。

Quad9のデータによると、マルウェアを含んだウェブサイトではなくユーザーをスパムサイトに送ろうとしていた可能性が高いこともわかっています。

フィッシングメールに引っかからないための対策について

フィッシング攻撃は今後も消滅しないと考えられていますが、対策を行うことで被害を受けるリスクを少なくすることができます。

従業員がオンラインで情報を共有しすぎていないか確認する

企業で働く従業員はインターネット上で情報を共有しすぎている可能性があります。攻撃者はかなりの時間をかけてターゲットのオンライン上の足跡を調査し、その情報をもとに高度にカスタマイズされたメッセージを作成するため、成功する可能性が高くなります。

タイポスクワッティングされたドメインを管理

フィッシング攻撃に使用されるタイポスクワッティングされたドメインは、組織が使用しているドメインと非常によく似ていますが、小さな「L」を大文字の「i」にするなど、文字を入れ替えて異なっているけれどもかなり似ているドメインを使用します。

タイポスクワッティング(Typosquatting)とは?

母音の位置を入れ替えたり、文字を省略したりと、目で見て信じられるようなドメイン名を読み取るための工夫がなされています。

タイポスクワッティングされたドメインが自社のドメインになりすまそうとしていないかどうかを確認する必要があり、もし発見した場合は攻撃者が購入できないように積極的に購入したほうがよいとしています。

また、タイポスクワッティングされたドメインがすでに登録してしまっている場合は、そのドメインとネットワーク通信できないようにブロックすることが推奨されています。

従業員を定期的にテスト

企業のセキュリティ・チームは定期的なテストメール送信を通じて、疑わしいメールを見分けるようにトレーニングする必要があります。

攻撃者が使用する最新のフィッシング・テクニックを用いて、役割に応じた従業員教育を定期的に実施します。

その他の対策

組織外からのメッセージにフラグを立てるメールバナーを導入し、偽のCEOやCFOのメールである可能性を従業員が識別できるようにします。

電子メールの添付ファイルからマクロを起動する機能を無効にします。

ブラックリストに登録されているドメインから送られてくる悪質な電子メール、無効な添付ファイルを含む電子メール、またはタイポスクワッティングされたドメインから送られてくる電子メールにフラグを立てる電子メールセキュリティ対策を導入します。

悪意のあるリンクや添付ファイルをクリックしてしまう人は必ずいると認識を改めて、企業はクリックした後の対応にも重点を置く必要があります。

コメント

タイトルとURLをコピーしました