この記事は、シスコの Infosec 担当バイスプレジデントでチーフ インフォメーション セキュリティ オフィサーであるである Steve Martino によるブログ「The Endless Scourge of Malicious Email」(2019/6/7)の抄訳です。
望まない電子メールは単に不快であるだけでなく、サイバー脅威の最大の原因でもあります。つい先月には、スパム メールが電子メール全体の 85% に達しました。Verizon 社の『2018 年のデータ侵害調査レポート(2018 Data Breach Investigations Report)』によると、マルウェアの配布とフィッシングに最も使われるのは電子メールで、割合はそれぞれ 92.4% と 96% です。攻撃者は電子メールが有効な手段であることを知っているのです。
電子メールを受信するとユーザが手を止め、少なくとも全体に目を通すため、急いで確認した場合はリンクを誤ってクリックする可能性があります。これは攻撃者にとって、悪意のあるリンクや添付ファイルを紛れ込ませる絶好の機会となります。フィッシングやソーシャル エンジニアリングは非常に洗練されているため、精通したユーザにとっても不正な電子メールを見分けるのは困難です。
シスコによる最新の CISO ベンチマーク調査では、電子メール内の悪意のあるリンクをクリックするといったユーザの行動を防ぐことについて、CISO の 56% が、かなりまたは極めて困難であると感じていることが判明しました。これは調査したセキュリティ上の懸念事項の中で最も高く、パブリック クラウドにあるデータやモバイル デバイスの利用に関する懸念すら上回っていたのです。
電子メールのリスクは、Duo Insight で模擬のフィッシング攻撃を実施した
結果からも明らかです。Duo Insight は偽のフィッシング詐欺キャンペーンを作成して、組織内のユーザをテストおよび教育するためのツールです。
Duo Insight を使った 2018 年のテスト結果によると、模擬のフィッシング キャンペーンの 62% で、少なくとも 1 組のユーザ クレデンシャルを入手できました。すべての受信者のうち、ほぼ 4 分の 1 が電子メール内のフィッシング リンクをクリックし、そのうちの半数が偽の Web サイトにログイン情報を入力したのです。
2018 年にシスコが委託した別の調査では、回答者の 70% が、電子メールの脅威に対する保護がますます難しくなっていると述べています。電子メールによる攻撃の影響については、回答者の 75% が重大な運用上の影響があったと答え、47% が深刻な財務面の影響があったと報告しています。
さらに悪いことに、不正な電子メールは増加傾向にあります。Talos Intelligence のデータを見る限り、スパム メールの全体量は過去 15 ヵ月で最大レベルにあります。新しいフィッシング ドメインの数は 2019 年の 1 月から 3 月にかけて 64% 増加しています。つまりフィッシング攻撃は今後も増加する可能性があるのです。
以下に紹介する対策は一般的なものですが、電子メール攻撃が増加し続ける現在、ここでも改めて取り上げておきます。シスコでは、基本的かつ広範なセキュリティへの取り組みの一環として、すべての従業員を定期的にトレーニングしています。これにより、電子メール攻撃によるネットワーク侵害が大幅に減少しました。
- 巧妙にカモフラージュされた高度なフィッシング攻撃を従業員が判別し、報告できるよう、フィッシング テストを定期的に実施する
- マルチファクタ認証を使用して、攻撃者による不正アクセスを阻止する
- ソフトウェアを最新の状態に保つ。電子メール ゲートウェイ、アプリケーション、オペレーティング システム、ブラウザ、プラグインなどに更新プログラムを適用できるよう、時間を確保する
- 見知らぬ人に送金しない。厳格なポリシーを設定して高位の認証を必要とする。承認担当者には(1 人だけでなく)2 人を指定する
- 立ち止まって考える。電子メールの内容は現実的だろうか?何か落とし穴はないだろうか?
- ユーザは、送信者の電子メール アドレスと署名を比べて、一致しているか確認する。一致してない場合はリンクなどをクリックしない
電子メールベースの攻撃に対して組織を防御するには、これまでのように階層型のアプローチによるセキュリティが不可欠です。スパムブロッカー、マルウェア/URL ブロッカー、統合型サンドボックスなどの従来アプローチは現在でも必須だと言えます。また、DMARC、機械学習、電子メール脅威の緩和機能など、常に変化する電子メールの脅威に対抗する上で役立つ新技術も複数あります。
『電子メール:クリックは慎重に – フィッシング、不正行為、その他の詐欺から保護する方法』のレポートをダウンロードし、詳しくご覧ください。
Cisco E メールセキュリティが誇る高度なフィッシング防御の詳細については、こちらをご覧ください。