Cisco Japan Blog

効果のある手段を継続的に利用:フィッシングの現在

1 min read



Marc Blackmerこの記事は、テクノロジスト、ブロガー、およびサイバーセキュリティ プロフェッショナルとして 20 年以上の実績をもつ Marc Blackmer によるブログ「Going with what works: The state of phishingpopup_icon(2018/11/1)の抄訳です。

 

Go phish!

サイバー攻撃は大きなビジネスになっています。どんなビジネスであれ、最小の投資で収入を増やすことができれば利益が増えます。攻撃者にとって、フィッシング メールのような効果的な攻撃ベクトルに出会ったときに、金銭的な利益が得られる限りそれを使い続けることは理に適っています。

つまり、うまく機能しているものに手直しを加える必要はありません。そして、フィッシングは今のところうまく機能しています。

 

 

過去の概念を打破

意欲のある攻撃者は能力も高く、創造性に富んだ活動を行っています。
E メール セキュリティは、王家の血を引くという虚言や架空の請求書をただ警戒すればよいという単純なものではありません。高度なメール攻撃を検出してブロックするには、これまでの E メール セキュリティの概念を超えるものが必要になります。

前回のブログ記事では fileless malware をテーマにして、それが従来のセキュリティ モデルを打破するものであることや、進化し続ける脅威を新たな観点で見直して防御する必要性について述べました。フィッシングも、従来のセキュリティモデルを超えて進化している脅威の一例と言えます。次に例を示します。

攻撃者が、特定のベンダーのクライアントに、フィッシング メールを送信します。そのメールで攻撃者はベンダーになりすまし、ベンダーの銀行口座の支店コードが変更されたと伝えます。攻撃者はメールに新しい支店コードを記載し、今後はそれを使って支払いを行うようクライアントに指示します。本物のベンダーへの支払いは止まり、それが一定期間続くと、ベンダーは滞納の理由を顧客に問い合わせます。顧客は、指示されたとおり新しい支店コードを使って期間内に支払いを行ったと返信します。支店コードは実在のものでしたし、添付ファイル、コンテンツ、URL などを見ても、悪意を示すシグネチャはありませんでした。犯罪的な要素は、送信者の正体以外にはなかったのです。お金はすでに奪われていました。

お客様を守るためにシスコができることはあるのでしょうか。もちろんあります。

 

出入りをブロック

フィッシングを防御するには、受信と送信の両面での対処が必要です。まず、前述のような、悪意のあるリンクや添付ファイルはなく、ただメッセージの内容が偽情報であるだけの脅威を、どのように検出できるでしょうか。次に、攻撃者があなたの会社の従業員を装って会社の信用を利用したとき、それをどのように発見できるでしょうか。

受信面でのシスコのアプローチは次のようになります。シスコでは、メール テレメトリの統計分析に基づき、データ モデリングを使用して組織内の各ユーザについて信頼性指標を作成します。送信者のメール アドレスや IP アドレス、送信者の組織のドメイン レピュテーションなどの特性に基づいて、「正常」の基準を確立します。基準からの逸脱があると、侵害の兆候(IoC)が示される場合があります。私のように出張が多く、新たに出会った人とメールを交換する機会が多い場合、連絡先が追加されるたびに検疫を行うのは非常に面倒です。仕事に大きく差し支えることにもなります。シスコの分析には、前述したドメイン レピュテーションなどの特性が加味されているため、業務上の必要とのバランスをとりながら疑わしい動きを特定することが可能になります。

次に、このシナリオを逆の観点から見てみましょう。私の友人の 1 人が、ここマサチューセッツ州にある、小規模ながら評判のいいオンライン コンテンツ会社に勤務しています。ある日その会社が、自社から送信した正当なメールがブロックされ、自社ドメインが複数のブラックリストに登録されていたことに気づきました。当然ながら、これはビジネスに重大な影響を及ぼしました。結局、スパム送信者が送信先のメール防御策をバイパスするためにその会社の評判を悪用し、その結果ブラックリストに登録されたことが判明しました。

こうした寄生攻撃を検出してブロックするのは非常に難しいことのように思われますが、これには解決方法があります。DMARC(Domain-based Message Authentication, Reporting and Conformance)popup_iconのような標準的技術を使用することで、組織の信用を不正な方法で利用しようとする攻撃を、検出して阻止できるのです。

脅威が進化していることを踏まえると、従来型のセキュリティ技術はそろそろ捨て去るべきなのでしょうか。もちろん、そのようなことはありません。攻撃者は、利用可能なあらゆる手段を駆使してあなたのデータに手を伸ばしてきます。ですから、1 つの脅威にしか対応できない防御では不十分です。そして、悪意のある何かが侵入してくる不測の事態に備える必要があります。したがって、階層型の防御で脅威に対処することが不可欠なのです。

 

次のステップ

11 月 15 日の午後 1 時(EDT)から開催される E メール セキュリティ エキスパートのパネル ディスカッションpopup_iconライブのフィッシング ウェビナーには、にご参加ください。私も参加し、フィッシングの現状と、組織を防御する方法について、話し合う予定です。こちらのリンクpopup_iconから登録できます。また、シスコの最新の E メール セキュリティである Cisco Advanced Phishing Protection のドキュメント も新しく公開していますので、ぜひご覧ください。いつものように、下のコメント欄へのコメントもお待ちしています。

Authors

坂本 祐一

コンサルティング システムズ エンジニア

セキュリティ事業

コメントを書く