【セキュリティ基礎知識】気をつけよう!企業向けフィッシング詐欺
個人だけでなく、企業を狙ったフィッシング詐欺の事例もここ最近増えています。企業向けだけにその手口は巧妙であり、情シスだけでなく、社員一人一人のレベルで学んでおかなくてはなりません。今回は、フィッシング詐欺の流行りの手口や被害状況、セキュリティ対策について紹介します。
フィッシング詐欺も“法人向け”!?
「フィッシング詐欺」の言葉は、おそらく聞いたことがある人が多いでしょう。
フィッシング詐欺の定義として、総務省の公開する「国民のための情報セキュリティサイト」に以下のように記載されています。
「フィッシング詐欺とは、送信者を詐称した電子メールを送りつけたり、偽の電子メールから偽のホームページに接続させたりするなどの方法で、クレジットカード番号、アカウント情報(ユーザID、パスワードなど)といった重要な個人情報を盗み出す行為のことを言います。なお、フィッシングはphishingという綴りで、魚釣り(fishing)と洗練(sophisticated)から作られた造語であると言われています。」(総務省HPより引用)
これに関連して、2017年頃から“特定の企業・組織向けのフィッシング詐欺”というサイバー攻撃の事例が急増しています。
先日、情シスNavi.の記事でも紹介した「Trend Micro DIRECTION」のセキュリティカンファレンスでも企業向けフィッシング詐欺の事例報告がありました。(関連記事「【Trend Micro DIRECTION 2018】セキュリティリスク管理の方程式で被害を抑える」)
その内容をもとに、法人向けフィッシング詐欺について解説します。
今まではフィッシング詐欺といえば、不特定多数向けのメール送信や、一般公開されているサイトを模倣し、通りすがりの人を狙った手口などでした。特定の企業・組織を狙った詐欺というのは、攻撃対象者に近い人間などを装って、的を絞って攻撃をしかけてくるという手口です。また、近年のクラウド利用の普及から、こうしたフィッシング詐欺が横行しやすい環境にあるともいわれています。
巧妙化する詐欺に対抗するには、まずは手口や事例を知り、防衛策を立てる必要があります。
2018年上半期、国内の複数の大学で、相次いでフィッシング詐欺の被害事例が報告されました(2018年トレンドマイクロ調べ)。大学関係者を装った相手から、学生や大学の従業員を標的とした詐欺だったといいます。こうしたフィッシング詐欺は、数年前からアメリカで非常に流行っていた手口で、今年に入り日本へも伝わって来たといわれています。
具体的な被害内容は、メールアカウントの乗っ取り、そのアカウントから迷惑メールの大量送信、個人情報の抜き取りなどです。
こうした詐欺が日本で行われるようになってきた理由として、クラウドメールサービスの普及が原因の一つとして挙げられます。メールサービスへのアクセスをIDとパスワードのみでの認証で運用している組織が多く、そこに付け込まれているのです。
また、見積書や発注書などの書類をPDF化してメールでやりとりする例が多くなっています。もちろん組織はそういった書類は厳重に警戒してやりとりを行っているはずですが、実際にはそれを盗み見られたり利用されたりしているのです。
狙いは企業の「情報」!
最近のフィッシング詐欺は、クレジットカードの情報など“金銭目的”だけでなく、クラウドサービスアカウントなどの“情報目的”が増えて50%を占めています。
こうした“情報目的”の狙いは、クラウドサービスにアクセスできるアカウント情報を手に入れてその人物になりすまし、関係企業を狙ったビジネスメール詐欺に利用するなど、「次の犯罪に利用する」ことです。特定の人物になりすまして関係者をひっかけ、最終的に多額の振り込みへ誘導するのです。(参考記事:【セキュリティ基礎知識】気をつけよう!ビジネスメール詐欺)
逆から言えば、アカウントを乗っ取られるなどの被害に遭った場合は、そのアカウントを利用されてさらに大きなサイバー犯罪の二次被害につながることがあるということです。
アカウント情報を悪用するサイバー犯罪には、ビジネスメール詐欺だけでなく、情報漏えいや、迷惑メール送信の踏み台にされたり標的型サイバー攻撃へ利用されたりすることなどが挙げられます。金銭搾取でなくても、外部への不正なメール転送で情報漏えいが起きたら組織にとって深刻なインパクトとなるでしょう。
次に具体的な手口を紹介します。
(Trend Micro DIRECTIONセッション フィッシング詐欺事例紹介スライドより)
ある企業の従業員に、その従業員が使用する有名なクラウドサービスから「アカウントが第三者によって不正にログインされた可能性があったためアカウントをブロックしています。」といった内容のメールが送られてきます。正規のドメインに「-jp」を付け足してあるなど、正規のアドレスではないがそう見えるような偽装が行われていたりします。本文では、「次のアドレスでアカウントのブロックを解除することができます。」などの文に次いでショートURLが記載されています。他にもURLはハイパーリンクで「リカバリアカウント」のような文字列が表示されている例もあります。しかし実際にアクセスする先は、クラウドサービスを装った不正サイトのURLです。しかし実際に使っているクラウドサービスであれば、疑問を持たずにURLをクリックしてしまうこともあるでしょう。
そしてURLからアクセスしたサイトは、本物そっくりに作ってあるログイン画面です。
(Trend Micro DIRECTIONセッション フィッシング詐欺事例紹介のスライドより)
上記の図は実在した偽サイトの例です。実際にAppleID、Office365、Outlookのログイン画面が発見されているそうですが、本物とほとんど一緒で人間の目には区別がつかない出来となっています。そこに被害者はアカウントとパスワードを入れてしまい、その情報を盗まれてしまうのです。
もちろん、人間の目で見破ることが全く不可能なわけではありません。
フィッシング詐欺のよくある例として、類似したアドレスを使っていること、アカウントリセットなど緊急性があるかのような内容、添付URLがショートURLなどの特徴があります。類似事例を知ることで普段から警戒していれば、怪しいと気づくことも可能です。怪しいと感じたら、送られてきたメールと異なる経路でアカウントの確認をするなどで被害を防げます。
では、どのような対策ができるか
人と組織がとる対策
人間にできる対策は、詐欺への感度を上げておくこと、URLの確認やSSL証明書、情報を送信するサイトの記載に変な点がないかの確認などです。できることを確認してみましょう。
- セキュリティ教育(詐欺への感度を上げる)
日常からサイバー攻撃の事例や手口を見聞きしておき、「これは詐欺かも」と気づきやすい状態を作っておくことです。
実際の被害のニュースを聞かないときはつい油断しがちですが、注意喚起をし、自分が標的になるかもしれないと緊張を持ち続けることも大事です。
- URL確認
メールに添付されているURLにアクセスする際には、正規のドメインであるかなどURLチェッカーを使って確認するステップを踏むとよいです。シマンテックのNortonのSafe Web、トレンドマイクロのSite Safety Centerなど無料のWebサービスがありますので、利用しやすいでしょう。
- SSL証明書確認
アクセスした先のサイトのURL欄に、SSL証明書の鍵マークがあるかを確認します。
SSL証明書は発行対象の組織、発行した組織を見ることができます。ただし、サイバー犯罪者が入手しやすい無料の証明書もありますが無料だからといって必ずしも詐欺サイトというわけでもなく、これだけでは判別がつきづらい面もあります。
- 情報を送信するサイトの記載の確認
アクセスした先のサイトが、正規のサイトと同じかどうか確認します。今までわかっている事例では、サイトのCopyrightの「年」が「2017」など古くなっているなどの例があるそうです。他にも、画像の崩れがあるなど、細かい違いがあることもあります。
- 相談窓口をつくる
これは組織としての対策です。実際に被害に遭ったときなど、すぐに相談できる窓口があれば迅速な報告が期待でき、その後の速い対応につながります。
二次被害を防ぐためにも、被害報告を徹底することが必要です。
技術の面からも対策
被害を食い止めるためには、人間だけに頼らず技術的にも対策しましょう。多種多様なセキュリティ製品がありますが、どんな機能が何に有効なのか、自分の組織に必要なものはどれかをきちんと選ぶことが重要です。
- フィッシングメールのフィルタリング
メールのフィルタリングを行い、怪しいメールを分類します。使用するメールサービスによってフィルタリングの内容が違いますが、既知の不正アドレスやなりすましメールを防ぐことができます。
- ブラウザのセキュリティ機能
フィッシング詐欺に使われるサイトは、過去に詐欺に使われて被害報告されている既知の不正サイトが再び使われるケースがあります。ブラウザに搭載されているセキュリティ機能を有効に設定するとそういったサイトへのアクセスを警告してくれるなど、アクセスしてしまうことを防ぐことができます。信頼済みサイトのみアクセス可能とするなどセキュリティレベルのカスタマイズ設定が可能なブラウザもあるので、見直してみるのもよいでしょう。
- クラウド利用時の二要素認証導入
二要素認証とは、IDやパスワードなどの「本人だけが知っていること」、ワンタイムパスワードなど「本人だけが所有しているもの」、指紋など「本人自身の特性」の中から2つの要素を使って認証を行うことをいいます。
もし、不正にアカウント情報を盗まれたとしても、クラウドサービスを使う場合にIDとパスワードだけでなくワンタイムパスワードなどの二要素認証を活用していれば、アカウントの乗っ取りを防げます。
- 偽サイトの検知
セキュリティ製品の中には、ブラウザのセキュリティ機能と同じように不正サイトのアクセスをブロックしてくれる機能を持つものがあります。ブラウザよりもその機能に特化しています。未知の不正サイトでも動的にサイトスキャンを行うなどして警告を出す製品もあります。
まとめ 人・組織・技術の対策でリスクを最小化する
これらの対策を実施したとしても、対応できないケースもあります。不正サイトが短い時間内で立ち上がったり消えたりすると、既知のサイトとして判定できず、対応は難しくなります。
どのサイバー犯罪対策でもいえることですが、組織的対策や技術的対策をどんなにがんばっても100%防げるわけではありません。個人と組織と技術が、それぞれにできる対策をとりリスクを最小化することが最善策なのです。
【執筆:編集Gp 星野 美緒】