成功するフィッシング攻撃への、IT管理者の苛立ち

2月 17, 2019 セキュリティとコンプライアンス, MOVEit

IT 部門は、ユーザーサポートを含む多くのタスクを担当していますが、ユーザーサポートは IT 部門で行うべき業務の中でもかなりの割合を占める場合が多いです。

エラーが繰り返す場合、ユーザーはIT管理者にそれがプロのハッカーによる高度な攻撃の結果だと確かめてもらいたがります。組織サイバー犯罪者の高度な攻撃の場合もありますが、ダークウェブで必要なツールを購入して気に入ったビットコインを使う若造の仕業である場合が大半です。まったく、そういうハッカーはビットコインが大好きなようです。

IT 管理者は、(たいていは同じ犯人が仕掛けた)同じエラーを修正することにかなり辟易しています。思い浮かぶ限り、重大なデータ侵害の根本的な原因は、ほとんど「人的エラー」です。スピアフィッシング攻撃でマルウェアがリリースされた場合は、特に。

説得できないなら強硬手段?

IT 管理者はその都度ユーザーに説明するでしょうが、同じことが繰り返されます。もう限界だとなったら、ランサムウェアやその他の攻撃ベクトルを繰り返しリリースしてしまう違反者にはペナルティを科すシステムを導入することさえ議論されるかもしれません。痛い目に合わないとわからないなら、違反のたびに毎月の給与を5パーセント減らすはどうか、などと。セキュリティ意識向上のトレーニングでセキュリティ意識のレベルが上がらない場合は、他にどのような選択肢が残っているのでしょうか。

「セキュリティ意識のトレーニングの有用性は、まったくトレーニングを受ける受講者次第で、良くも悪くもなり得ます。トレーニング内容を深く理解して毎日の安全管理を心して行うようになった人がいる一方、トレーニングを受けた数日後にサイバー攻撃に簡単にひっかかってしまった人もいます。」と、テネシー州に本拠地を置くマネージドITサービスのプロバイダーである Nashville Computer Inc のCharles Henson 氏は述べています。

全従業員の電子メールをチェックする専任の IT 担当者をつけるのも一つの方法でしょうが、リソースはやはり、フィッシング攻撃を排除するよりも、利益向上やプロセス効率化のタスクのために活用する方が好ましいでしょう。

「テクノロジーにあまり興味を寄せない人たちは、テクノロジーを権威ある優れたものとして妄信する傾向があり、電子メール、Web サイトなどを暗黙的に信頼してしまいがちです。なかなか偽装されている可能性があることにまで思い及びません。フィッシング詐欺にひっかかるのは、たいていは疑わしい何かがあってもそれが警鐘を鳴らすことに結び付けられないからです。」と話すのは、米国コロラド州ボールダーに本拠地を置き、ボルダー/デンバー地域の中小企業に IT コンサルタントのサービスを行っている Strive Technology Consulting の所有者、Tim Singleton 氏です。

「何が起こったのですか?」と私たちは尋ねます。

「”クリックしてください” とあるリンクをクリックしたら、顔にLEDモニターの断片を埋め込んで、PC がメルトダウンしました。見てください!」

「どうしてリンクをクリックしたのですか?」

「だってそこにあったから…」

もう、返す言葉もありません。

肝心なのは問題を解決することなので、解決できたら(ペナルティを科すといった強硬手段はそう簡単に取れるものではないので、IT 管理者は、憤懣やるかたなくても粛々と必要な処理を行うでしょう)繰り返し違反者は仕事に戻るでしょう。

オンプレミス、クラウドのどちらも監視できるネットワーク監視ソリューションが無料で試用できます。

では、ここで、気を取り直して、論理的に考えてみたいと思います。ユーザーは一般的にはフィッシングについて聞いたことはあって、それが海水や淡水とは無関係なこともわかっています。フィッシングには3つの基本的なカテゴリーがあります。

フィッシングスキャム

これは、具体的なターゲットのないソーシャルエンジニアリングの一種です。ランサムウェア攻撃であろうとなかろうと、埋め込まれた URL またはボタンを使用してマルウェアを起動する大量メール送信スパムソリューションと考えてください。

スピアフィッシング

ちょっとしたソーシャルエンジニアリングで、サイバー犯罪者は、同じ会社の社員や、同じ集団に属するメンバーをターゲットにして、偽のサイトにつながる同じ攻撃ベクトル、ボタン、URL を含むメールを送信し、ユーザー名やパスワードなどを盗むためのデータ侵害を引き起こします。

ホエーリング

ソーシャルエンジニアリングを駆使して、同じ会社の社員や、同じ集団に属するメンバーをターゲットにして、送信元としてなじみがある情報、通常は会社の上司やサービスプロバイダを偽装した情報を使うために非常に説得力のあるメールを送信します。メールには送金を指示する内容などが含まれ、だまされてそれに従ってしまうと、処理されて引き出されてしまいます。

「事業主からと名乗って、電信送金を要求するフィッシング攻撃の電子メールを受信したことがあります。そのメールは、送信元の氏名として事業主の正しい姓と名前が使われていたため、本物のメールのように見えましたが、肝心のメールアドレスのドメイン名にスペルミスが含まれていました。」と Henson 氏は述べています。

テクノロジーは助けにはなるが万全ではない

ユーザーは毎日のようにフィッシングメールを受信します。仕事中に無料メールサービスにアクセスすると、その数は増えるでしょう。フィッシングメールによるサイバー攻撃を減らすための技術的な解決策は多数存在しますが、技術的なソリューションには限界があります。

「どんなセキュリティソリューションを使った場合も、防げるものはできる限り防ぎたいはずで、防げない場合は検出したいはずです。そして、自動検出に失敗した場合は対応する必要があります。」と、Singleton 氏はアドバイスします。

モバイルデバイスのユーザーもターゲットになりますが、メニューなどのレイアウトがデバイス画面に合わせてサイズ変更されるデザインは、フィッシング攻撃の検出を困難にします。

「デスクトップやラップトップ・デバイスの多層防御に加えて、モバイルデバイス向けのモバイルデバイス管理(MDM)ソリューションも不可欠です。リアルタイムで監視してスキャムがあればロールバックを行うソフトウェアを使うにしても、ファイアウォールレベルでのエッジボーダー保護を行うにしても、十分な注意を払い、自社に適したソリューションを見つけるのは、まさにIT部門の責任です。」と、Henson 氏は話します。

もちろん、エンドポイント保護やマルウェア対策プログラムなどのソリューションは、ユーザーがセキュリティに十分配慮してコミュニケーションを行うことを期待できないような場合は特に、大変重要です。

ユーザーのミスはユーザーの責任

フィッシング攻撃が複雑になり多発する中で、多くのユーザーをサポートしなければならないIT管理者には同情の念を禁じ得ず、ただ幸運を祈ることしかできません。

「ウイルスやスパムと同様、フィッシングは軍拡競争です。フィッシングメールのメッセージをフィルタで捉えることができるようになると、メッセージはよりリアルに進化します。この傾向は今後も続くと予想されます。最も危険なのは特定の人に対して行われるパーソナライズされたスピアフィッシング攻撃で、検出するのは非常に困難です。」と、Singleton 氏は述べています。

送信者の名前がよく知っている人の名前であっても、メールアドレスに不審な点があれば、重大なヒントです。ゴミ箱に入れ、返信しないでください。また、ウイルス対策ソフトウェアを使っている場合であっても、不確かなメールのリンクやボタンをクリックしないでください。購読解除用のリンクを使ってユーザーを陥れるフィッシングメールを見たこともあります。くれぐれもご注意ください。

Michael O'Dwyer

An Irishman based in Hong Kong, Michael O’Dwyer is a business & technology journalist, independent consultant and writer who specializes in writing for enterprise, small business and IT audiences. With 20+ years of experience in everything from IT and electronic component-level failure analysis to process improvement and supply chains (and an in-depth knowledge of Klingon,) Michael is a sought-after writer whose quality sources, deep research and quirky sense of humor ensures he’s welcome in high-profile publications such as The Street and Fortune 100 IT portals.