フィッシング詐欺を利用する攻撃者は、何らかのデータを盗み出そうとします。スピア型フィッシングともなれば、データベースごと盗み出そうとするかもしれません。
今日の企業が直面している多様な脅威のなかでも、標的型攻撃は特に厄介であることが多く、防ぐのも容易ではありません。最新のセキュリティインフラストラクチャを備えている企業でさえ、標的型攻撃を検知して遮断することは難しいと考えています。セキュリティの構成要素のなかで最も弱い部分を突いてくる、つまり人間を標的にしているからです。巧妙にカスタマイズされたスピア型フィッシングメールを作成したり、ブラウザの動作を悪用したりする攻撃者は、システムではなく人間を欺くほうが、ネットワークへの侵入は簡単だと考えています。
事実、シマンテックが発行する最新の『インターネットセキュリティ脅威レポート』(ISTR)によれば、標的型攻撃の件数は 2013 年に 91% も増加しました。人的な要因を悪用するために、攻撃者は今まで以上に辛抱強くなっており、時間をかけてシステムに侵入し、攻撃のときを待つようになっています。攻撃が存続する日数は、2011 年の 4 日間、2012 年の 3 日間と比べ、2013 年には 8 日間と伸びました。このような攻撃の長期化は、ハッカーが長期にわたる永続に集中しつつあることを示しており、その目的は攻撃活動を隠すことにあります。
2013 年のスピア型フィッシング
フィッシング攻撃を支えるソーシャルエンジニアリングは、その成否を決める重要な鍵のひとつです。どの場合も、メールは受信者の関心を引くように工夫されており、少しでも多く開封されることを狙っています。標的型攻撃ともなると、ソーシャルエンジニアリングは年を重ねるごとに磨きがかかり、研究も念入りになっています。そのため、適切な技術を実装して身を守らないかぎり、攻撃を認識することはきわめて難しくなります。
とは言っても、どの企業も一様に標的型攻撃の被害を受けているわけではありません。傾向として、企業の規模が大きくなるほど、攻撃を受けるリスクが高くなります。昨年は、スピア型フィッシングメールのうち 39% が、従業員数 2,500 人以上の企業を狙ったものでした。また、業種で見ると、2013 年に狙われたトップは行政機関であり、攻撃全体の 16% を占めていました。標的型攻撃が国家によるスパイ活動に利用されていることを考えれば、これは驚くに値しません。
小規模な企業が標的になるリスクも高くなってきました。従業員数 250 人以下の企業を標的とする攻撃の比率は、1 年を通じて増加し、ピークとなる 11 月には 53% に達しています。これも、驚くようなことではありません。というのも、大規模な企業に侵入しようとするとき、まず請負業者に侵入するというのは攻撃者にとって有効な手口であり、請負業者は小規模な企業であることが多いからです。
フィッシング攻撃の標的になるユーザーの数はこの 10 年間増え続けてきましたが、昨年の全世界平均を見ると 1 日当たりのメール攻撃は 83 件に減っています。前年の 1 日平均 116 件と比べるとかなりの減少ですが、件数が減ったからと言って攻撃者がペースを落としているという証拠にはなりません。むしろ、攻撃が注意を引かないように、さらに戦術を変えつつあるということを示唆しています。
新たな脅威: 水飲み場型攻撃
フィッシングに関する従業員の意識が高くなってくると、攻撃者は作戦を細かく調整するだけにとどまらず、攻撃を偽装すべくさらに複雑で見つかりにくい新しい戦術を考案するようになります。
2013 年にシマンテックは、コンピュータにマルウェアを仕掛ける「水飲み場型」攻撃の増加を確認しました。攻撃者は、標的としたユーザーがアクセスする正規のサイトに侵入して悪質なコードを埋め込み、標的がそのサイトにアクセスするのじっと待ちます。この攻撃は、狙われた個人またはグループが興味を持つ特定のコンテンツが掲載された正規の Web サイトに仕掛けられるのが一般的です。
よく知っていて信頼もしている正規の Web サイトを本能的に疑うことはまずないので、このドライブバイダウンロード方式は、きわめて効果的です。そのため、水飲み場型攻撃はますます流行しつつあり、2013 年にはスピア型フィッシングより水飲み場型攻撃のほうが大企業を狙う可能性が高くなりました。
では、こうした脅威に対して、自分や自分の会社をどのように守ったらいいのでしょうか。第 1 段階は、最大の脆弱性である従業員とパートナーに対処することです。そのためには、教育と技術ツールを提供して攻撃が到達する数を減らし、到達したものについても成功しないよう図る必要があります。
自分の会社が標的型攻撃に対して脆弱かどうか不安がある場合のために、明日から実行できる 3 つの事項を紹介しておきます。
- 従業員意識についてのトレーニング: まず始めるのは、ユーザーの教育です。脅威とそれによるダメージを従業員が理解できるよう努めます。そのうえで、標的型攻撃がどんな仕組みか、そしてリスクを最小限にとどめるために従業員はどんな行動をとるべきかを指導します。
- 高機能なメールセキュリティシステムを配備: クラウドベースの効果的なメッセージセキュリティシステムは、スパム、マルウェア、フィッシング攻撃、標的型攻撃などから保護するためにメールをスキャンし、その一方でオンサイトの技術のような煩雑さは緩和されています。
- ネットワークでアクセスをセグメント化:全ユーザーがアクセスするのは、ネットワークのうちそのユーザーの業務に関連する部分に限定してください。こうすれば、ネットワークの一部が侵入を受けても、攻撃者はそこを足掛かりにしてシステムに深く侵入することはできません。
【参考訳】