使える!情シス三段用語辞典113「ラテラルフィッシング」
常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に伝えるとなると更に難しくなります。『情シスNavi.』では数々のIT用語を三段階で説明します。
一段目 ITの知識がある人向けの説明
二段目 ITが苦手な経営者に理解してもらえる説明
三段目 小学生にもわかる説明
取り上げる用語を“知らない”と思った人は、小学生にもわかる説明から読んでみると、理解が深まるかもしれません!?
この記事の目次
一段目 ITの知識がある人向け「ラテラルフィッシング」の意味
「apple.comからのお知らせ」かと思ってよく見れば「appIe.comからのお知らせ」(小文字のl(エル)ではなく大文字のi(アイ))、などの姑息な手口で不正リンクをクリックさせようとするフィッシングメールは、もはや知れ渡った手口。
見た目ではフィッシングメールと判別できないラテラルフィッシングメールを使う手口が横行しています。
ラテラルフィッシングとは何か、またどのような場面で利用されるのか、詳しく説明します。
標的型攻撃のライフサイクル
特定の企業・組織に狙いを定めて行われる「標的型攻撃」。 ラテラルフィッシングの話の前に、標的型攻撃について説明しておきます。
標的型攻撃は、標的とする企業・組織に合わせてカスタマイズして行われますが、内部システムに侵入してデータやその他資産を収集するまでには、一定のライフサイクルをたどります。
- 情報収集 (Intelligence Gathering)
SNSやWebサイトなどから得られる情報を利用して、企業内部システムへの侵入の突破口として利用できそうなターゲットを見つけ出します。 - 初期侵入 (Point of Entry)
ステップ1で探し出したターゲットに対し、ソーシャルエンジニアリングなどを用いたメールやメッセージを送信。パスワードなどの秘密情報を入手し、組織内部ネットワークに初期侵入します。 - C&C 通信 (Command & Control (C&C) Communication)
ターゲットにダウンロードさせた不正プログラムに対し、C&C通信で指示をします。攻撃者はターゲットのコンピューターを通じてネットワーク内を動き回り、データを収集します。 - 内部活動 (Lateral Movement)
次に、ターゲット以外のコンピューターも感染させます。ネットワーク内に侵入した攻撃者は、さらに上位の資格情報を収集して次々とコンピューターを感染、権限レベルを上げていきます。 - 情報探索 (Asset/Data Discovery)
ポート検索などの手法を駆使して、企業にとって最重要情報が格納されているサーバーやサービスを特定します。 - 情報送出 (Data Exfiltration)
企業の最重要データを外部へ送出します。
ラテラルフィッシングとは
そもそもラテラルとは「横方向」を意味し、サイバー攻撃においては、攻撃者が内部ネットワークに不正侵入後、感染を拡大する行為を「ラテラルムーブメント:横方向への移動」と呼んでいることから、この名がついています。
標的型攻撃のステップ4「内部活動 (Lateral Movement)」で、次々に他のターゲットを感染するために利用される手法のひとつが「ラテラルフィッシングメール」です。
個人情報の収集を目的に、正規の企業名と酷似した名前・ドメインを利用するなどして、不正なリンクへ誘導するフィッシングメールはよく知られています。 しかしながら、フィッシングメールとラテラルフィッシングメールはどのように違うのでしょうか。
ラテラルフィッシングメールは、正規ドメインから送信されるメールである点がフィッシングメールとの大きな違いになります。
正規のドメインを悪用する手口
前述したようにラテラルフィッシングメールは、正規のドメインから送信されます。 故に騙される可能性が高くなっているのです。
では、攻撃者はどのように企業の正規ドメインからメール送信する権限を手に入れるのでしょうか。
USENIX Security 2019で発表された論文「Detecting and Characterizing Lateral Phishing at Scale」から、ラテラルフィッシングによる攻撃事例を紹介します。
例えば、正規のクラウドサービスOffice 365を使用している、engineering.comというドメインの企業があったとします。
- 攻撃者がcomの従業員に対して、通常のフィッシングメールを送付します。
- このフィッシングメールには、Office 365などメール送信機能があるクラウドサービスの偽のログイン画面へ誘導するリンクが掲載されています。
- 偽のログイン画面と見破れずにログイン情報を入力した社員のパスワードを利用して、攻撃者が正規のOffice 365に侵入します。
- 攻撃者は、Office 365の正規のアカウントと正規のドメインからフィッシングメールを送信できるようになります。
- 他のcomの社員に対して、正規のドメインから「パスワードの有効期限」などの案内文と見せかけたラテラルフィッシングメールを送信します。
- ラテラルフィッシングメール内で偽のログイン画面へと誘導し、他の社員からも大量のログイン情報を収集します。
従来、フィッシングメール対策として、偽ドメインからと思われるメールには反応しないという”常識”がありました。 しかしながら、「ラテラルフィッシングメール」は、正規のドメインから送信されるためこの常識は通用しません。
ラテラルフィッシングメールの例
ラテラルフィッシングメールの93%は、このように「このドキュメントを見て」程度のシンプルなメールとなっている。
(参考:Detecting and Characterizing Lateral Phishing at Scale / 2 Background を参考に編集)
ラテラルフィッシングメールにより誘導された偽のOffice 365のログイン画面
(引用:Detecting and Characterizing Lateral Phishing at Scale / Figure 3)
ラテラルフィッシングへの対策
では、正規のドメインから送信されるラテラルフィッシングメールを検知する方法はあるのでしょうか。
USENIX Security 2019でGrant Ho氏は、シンプルな機械学習でラテラルフィッシングメールを分類できると発表しています。
ラテラルフィッシングメールには次のような特徴がありますが、機械学習でこれらの特徴を持つメールのパターンを導き出します。
- Lure:メール内にphishy(人がひっかかりそうな)な単語が含まれている
- Exploit:メール内に通常では使用しないようなURLが含まれている
- Targeting:メールの宛先に入ったメンバーが通常ではありえない組み合わせである
機械学習させる手順として、まずドメイン数を絞り、これら送信元からのメールを用いて機械学習させる方法が有効であるとしています。
ある程度、ラテラルフィッシングメールを識別・分類できるようになったら、ドメイン数を制限しない、あらゆる送信元からのメールデータでさらに学習させて分類の精度を高めます。
また、多要素認証の導入や、過去のフィッシングメール判別方法はあてにならないと社内に周知しておくなどの対策も必要です。
二段目 ITが苦手な経営者向け
とある電機メーカーの社長さんが、情シス課長の良手さんのところにやってきました。なにやら良手さんに聞きたいことがあるようです。
社長:良手君、ちょっと気になるメールを受信したので相談があるのですが、今、少し良いですか。
良手:はい。何かおかしなところがあるメールなのですか?
社長:以前に正規のドメインと酷似したドメインを利用するフィッシングメールには気を付けるようにアドバイスをもらっていたので気を付けていたのですが、 しかし、今日、私が受信したメールの送信者は「admin@elect.com」で、我社の正規ドメイン「elect.com」と同一だったので、その点はおかしくないのですが…。 私と同じようにこのメールを受信したメンバーが、経理の新入社員と九州工場の派遣社員のようで、私は彼らとは直接話したことも連絡したこともないんです。 なんか変じゃないかと思って…。
良手:むむむ。社長、実はフィッシングメールの一歩先をゆく「ラテラルフィッシングメール」という手法が登場しています。 社長が今日受信したメールも怪しいかもしれません。
社長:ラテラルフィッシングメール? これまでのフィッシングメールとはどう違うのかね?
良手:はい。正規ドメインに酷似したドメインから送信されるのがフィッシングメールですが、ラテラルフィッシングメールは、正規のドメインから送信される点が大きく異なります。 当然、正規のドメインから送信されるため、「送信者をよく見よう」などという従来のフィッシングメール対策は全く通用しないのです。
社長:うわ! そうなると、攻撃者はどうやってその正規ドメインの権限を入手するのですか?
良手:ひとつの手段として、通常のフィッシングメールに引っかかった社員のログイン情報を悪用して、Office 365などメール送信機能があるクラウドサービスにログインします。 そして、正規のサービスOffice 365から他の社員に対して、ラテラルフィッシングメールを送信するのです。 ラテラルフィッシングメールは、正規のドメインから送信されているので、目視でフィッシングと判別するのは非常に困難です。
社長:ということは、”対策のしようがない”ということなのですか?
良手:残念ながら。でも、社長が「他の受信者のメンバーがいつもと違っておかしい」と気付いていらしたように、それがラテラルフィッシングメールの対策のひとつなのです。 今回の社長の気付きは素晴らしいですね。
社長:そうだったんですね。気が付いて良かった…。 あのメール、開封しなくて正解でした。 いずれにしても、社内の全員に注意喚起の指示を出すことにした方がよさそうですね。 良手さん、情シスで対応してもらってもよいですか?
良手:わかりました、すぐに取り掛からせます。
三段目 小学生向け
皆さんも日頃、お父さん・お母さん、先生などから「知らない人にはついて行ってはダメですよ」、「知らない人から物をもらってはダメですよ」などと聞かされていることと思います。中には「知らない人がくれたお手紙は危ないものかもしれないから開けちゃだめだよ」などとも言われているかもしれませんね。
ではまず、“知らない人からのお手紙”なのかどうかをどうやって見分けていますか?
「手紙をくれた人の名前を見ればいいよ」とA君。
そのとおりです。
では、悪い人がA君のお友達Bさんになりすまして”Bさんからのお手紙”と思わせるようにBさんの名前を書いたとしたら?
「Bさんからのお手紙と分かれば開けちゃうよ。だってBさんは僕のお友達だもの」
悪い人は”Bさんからのお手紙”とA君が勘違いをするように巧妙な罠を仕掛けています。A君からは、悪い人がBさん語っていたことなど分かりませんよね。
実はコンピューターの世界でも知らない悪い人からのお手紙が問題になっています。
これまで悪い人たちは、「金田さんより」を「全田さんより」というように、似た名前を使って手紙を出していました。名前が似ているので、手紙を受け取った人は「あ、友達の金田さんからだ」と早とちりして開けてしまうのですね。
しかしながら、皆がこのやり方に騙されないように注意するようになってくると、悪い人たちは新しい方法を考えました。
悪い人はいきなり手紙を出すのではなく、まずお友達の金田さんの名前と住所を勝手に借りてお手紙を出すことにしました。皆さんも、金田さんの名前と住所から来たお手紙だったら疑うことなく開けるでしょう?
このように、何の罪もない人を利用して悪い手紙を出す方法を、コンピューターの世界では「ラテラルフィッシング」といいます。
さて、皆様のご理解は深まったでしょうか?
【執筆:編集Gp 近藤真理】