インターネットは、悪者にとって本当に良いビジネスの場です。サイバーセキュリティインシデントの90%以上はフィッシングが攻撃の根本原因であり、8月のこの週には、米国選挙、米国、イスラエル、イランに対する地政学的紛争に対するフィッシング攻撃、6,000万ドルの企業損失が報告されました。
読者の皆様は、30年もの間、メールが攻撃やリスクの主な手段として使われ続けていると聞くと、私たちがこれに対して無力だと感じてしまうかもしれません。しかし、それは悪意ある攻撃者を過大評価し、検知に注力する防御側がどのように主導権を握り、打ち勝つことができるかを見誤っていると言えるでしょう。
フィッシングは、メールだけ、もしくは特定のプロトコルを指すものでもありません。簡単に言えば、読者の皆様や私たちのような人々に、無意識のうちに損害につながるような行動をとらせようとする試みです。こうした攻撃は、会社のCEOやCFOになりすますなど、視覚的に、または組織的に本物であるように偽装することで機能します。Cloudflareがお客様を保護する際に確認している、最も影響力のある3つの主要な攻撃ベクトルは次の通りです。1. リンクのクリック(偽装リンクは脅威指標の35.6%)2. ファイルやマルウェアのダウンロード(悪意のある添付ファイルはこうした指標の1.9%)3. フィンクやファイルを伴わずに金銭や知的財産を引き出すビジネスメール詐欺(BEC)(脅威指標の0.5%)。
現在、Cloudflareでは「マルチチャネルフィッシング」と呼ばれるものが増加しています。リンクやファイルを送信し、BECアクションを引き出す他のチャネルにはSMS(テキストメッセージ)、パブリックおよびプライベートメッセージ送信アプリがあり、これらを使用してリンクを送信したり、ユーザーに情報を読ませて、行動を起こさせるといった方法がますます一般的になっています。Google Workspace、Atlassian、Microsoft Office 365などのよく使われるコラボレーションツールで、攻撃者がリンク、ファイル、BECフィッシングを仕掛けることもあります。LinkedInやXのユーザーを標的としたWebおよびソーシャルフィッシングもあります。そのため、最終的にはフィッシングを阻止する試みは、これらの様々なベクトルを検出して保護できる、十分な包括性を備えたものでなければなりません。
これらの技術と製品についての詳細はこちらをご覧ください。
実際の例
ここでは、巧妙な攻撃者がマルチチャネルフィッシングをどのように実行するかの例をご紹介します。
以下は、ある役員が迷惑メールフォルダにあることに気づいたメールメッセージです。これは、当社のメールセキュリティ製品がこのメールに含まれる異常な内容を検知したため迷惑メールフォルダに振り分けられていますが、この役員はその内容が取り組んでいるプロジェクトに関連しているため正当なものであると考えています。会社の組織図を要求する内容が記載されています。攻撃者はこの種のメールのやりとりを続けると検出されることを知っているため、実際のGoogleフォームへのリンクを記載しています:
役員がこのリンクをクリックすると、正規のGoogleフォームである以下の画面が表示されます。
ここに組織図をアップロードする要求があり、彼らは次のことを試みます:
この役員は情報をアップロードしますが、アップロードが完了しません。ドキュメント内に「社外秘」の透かしが含まれており、Gatewayとデジタル損失防止(DLP)エンジンがこれを検出したことによりアップロードを防ぐことができたのです。
巧妙な攻撃者は、成功度を上げるために緊急性を利用します。この例では、役員がCEOに報告する期限が迫っていることを攻撃者が知っています。ドキュメントをアップロードできないため、役員は攻撃者に応答します。そこでこの攻撃者は、別の方法でアップロードするか、最悪の場合はWhatsAppで送信することを提案します。
この役員は2通目のメールで指示されたWebサイトに組織図をアップロードしようとしましたが、そのサイトにマルウェアが仕込まれていることに気づきませんでした。しかし、Cloudflareのブラウザ分離で読み込まれていたため、この役員のデバイスがマルウェアに感染することを防ぐことができました。ここで重要なのは、会社の機密文書をアップロードしようとした役員のアクションを再び防いだことです:
最後に、WhatsAppでのアップロードを試みますが、これも再び阻止します。
使いやすさ
セキュリティソリューションの設定と維持は、長期的な保護において非常に重要です。しかし、IT管理チームが各製品や設定を頻繁に調整し、各ユーザーのニーズを常に監視することは、チームに大きな負担がかかる作業であるため、コスト増大やリスク増加につながります。
上記の例では、わずか4つのステップを行っていたことで、この役員を保護することができました:
保護のために、Cloudflareのデバイスエージェントをインストールし、ログインする
わずか数回のクリックで、デバイスエージェントクライアントを持つすべてのユーザーをマルチチャネルフィッシングから保護することができ、エンドユーザーや管理者に難しい作業はありません。クライアントのインストールを許可しない企業の場合は、エージェントレスの展開も可能です。
2. セキュアWebゲートウェイを経由するすべてのユーザートラフィックに適用されるポリシーを設定する。これらのポリシーにより、フィッシングキャンペーンに関与していることが知られているサイトなど、リスクの高いサイトへのアクセスを完全にブロックすることができます。歴史の浅いドメインなど、疑わしいサイトの場合、アクセスにブラウザ分離を使用することで、ユーザーはWebサイトにアクセスできますが、インタラクションの面で制限されます。
また、この組織ではCloudflare OneのGatewayとブラウザ分離ソリューションが使用されており、無料のクラウドストレージのWebサイトはリモートの隔離された環境で読み込むように設定されているため、無料のクラウドストレージサービスに組織図をアップロードすることも、情報をコピーペーストする機能も使用することができませんでした。
また、この役員はWhatsApp上で悪意のある行為者と会話をすることはできましたが、管理者がWhatsApp上のすべてのアップロードとダウンロードをブロックするようにCloudflare OneのGatewayソリューションを設定していたため、ファイルはブロックされました。
3. アップロード、入力、コピーペーストを禁止すべき内容を基にDLPポリシーを設定する。
この役員は、組織がCloudflare OneのGatewayとDLPソリューションを使用しているため、Googleフォームに組織図をアップロードすることができませんでした。この保護は、Googleなどの有効なWebサイト上であっても、GatewayをすべてのDLP違反をブロックするように設定することで実装されます。
4. メールセキュリティを導入し、検出対象とするメールの種類を基に自動振り分けルールを設定する。
上記の例では、Cloudflareのメールセキュリティが受信箱を保護していたため、役員は複数件の悪意のあるメールを受信せずに済みました。受信したフィッシングメールは、メールの署名とは異なる人物になりすましていたため、迷惑メールフォルダに振り分けられました。また、役員のIT管理者が設定したワンクリックの設定により、Eメールセキュリティの構成によって自動的に振り分けられました。
しかし、クラス最高の検出を備えていても、攻撃を受けている個々のユーザーについて詳しく調べる能力が重要であることは言うまでもありません。以下は、今後改善される予定のメールセキュリティ監視ダッシュボードのモックアップです。
今後の展開は?
フィッシングは30年前から存在し続けていますが、シームレスで包括的なソリューションで効果的に検出することが、現在においても保護を維持する唯一の方法です。
メールセキュリティだけを購入しようとしているのであれば、それだけでは不十分であることがわかります。仕事やデータはメール内だけに保存されているわけではないため、現代の従業員を保護するためには、多層防御が絶対的に必要となります。あらゆる場所に、あらゆるデバイスにあります。フィッシング対策も適切である必要があります。
複数のベンダーを組み合わせることでこれを行うことはできますが、すべてを連携させることはできません。また、マルチベンダーのアプローチはコストに加えて、通常、すでに手狭になっているITチームの調査、メンテナンス、統一性の確保にかかる負担が増加します。
Cloudflareを使い始めたばかりの方も、すでに利用が進んでいる方も、Cloudflare One製品スイートのさまざまな製品を手に取っていただくことで、フィッシング対策に総合的に役立つことがおわかりいただけると思います。特に、Cloudflareをすでに使用していて、Fortune 500企業や世界中の組織、政府機関から信頼される99.99%のメール検出を求めている方には、当社のメールセキュリティがどのように役立つかをご理解いただけると思います。
Office 365を使用している方で、現在のプロバイダーと当社の捕捉内容を比較されたい方は、今すぐRetro Scanから始めることができます。
また、当社のメールセキュリティソリューションを既にご利用の方は、当社の包括的な保護についてこちらをご覧ください。