よくわかるフィッシング対策

クレデンシャルを狙った攻撃

認証に利用されるIDやパスワードといった「クレデンシャル」は攻撃者の格好のターゲットです。正規のクレデンシャルを利用してシステムに侵入すると、与えられた権限の範囲で自由にデータやシステムにアクセス可能になります。しかも、それが正規の利用者なのか悪意のある攻撃者なのかをシステム管理者がリアルタイムに判別することは通常困難です。アイデンティはゼロトラストの重要要素の1つで、このアイデンティティを特定エンティティと結びつけるのが「クレデンシャル」であるため、その保護はセキュリティ上の重要課題となっています。

攻撃者がクレデンシャルを入手する代表的手法を以下に挙げます。

• 推測: 機器の初期設定や、admin/passwordのように簡易な組み合わせを利用
• ブルートフォース: パスワードによく利用される単語やランダムな文字列を列挙した辞書を利用して総当たりでログインを試行
• 既に流出済みのデータ: 他のサイトなどから流出したIDとパスワードの組み合わせを利用
• キーロギング: マルウェアが感染端末上でユーザーのキーボード入力を盗み出す
• フィッシング: メール等から偽のWebサーバーに誘導し、ユーザーにアカウント情報を入力させる

この中でもフィッシングは古くから利用されている手口で、現在でも多くのフィッシングメールが個人用だけでなく業務用メールボックスにも届いています。特にコロナ禍でSaaSやリモートアクセスを利用した在宅勤務が増加していることから、弊社の脅威インテリジェンスリサーチグループUnit 42でも、ビジネスユーザーをターゲットにしたフィッシング攻撃が世界的に増加していると報告しています。

MITRE社のATT&CK®フレームワークではクレデンシャルを盗み出す技術的手法を二要素認証の傍受を含む約50種類に分類しています。ただし、これらの手法の中でも「フィッシング」が長期にわたりよく利用されています。その理由には以下の3つが考えられます。

• ソーシャルエンジニアリングの容易さ:
  フィッシングの中心となるのは「人を騙す詐術」です。現実の世界でもターゲットの冷静さを失わさせて騙す「オレオレ詐欺」などの特殊詐欺が継続的に報じられていますが、サイバーの世界でもフィッシング詐欺に冷静さを失ってうっかりリンクをクリックしてしまうような魅力的なトピックが使われています。金銭やプライバシーといったトピックに加え、最近ではワクチンなどのコロナウイルスに関連したものも多く利用されています。
• 技術的参入障壁の低さ:
  複雑なプログラミングやOSの脆弱性悪用といった高度な技術が必要ありません。本物に見えるメッセージ、ドメイン、Webサイトを作ってターゲットを誘導するだけです。本物のサイトやメールのコンテンツを利用してリンクだけを偽サイトへのURLに差し替えられていることも多く、見分けるのは困難です。
• コストの低さ:
  大量にメールを送信するのにかかるコストは、ツールやサービスの利用によってゼロに近づいています。偽サイト用のドメインやサーバーのレンタルも数百円から行えます。防弾ホスティングと呼ばれるサービスを使えば、高い匿名性を維持したままドメイン取得からWebサーバの構築まで数千円程度で行えます。

フィッシング対策

Unit 42の調査にもあるように、フィッシング攻撃が減少する兆しはありません。このため、フィッシング対策を徹底する必要があります。多要素認証の導入、ユーザに対する教育や訓練はフィッシングからクレデンシャルを守るために非常に有効です。これらに加え、次世代型ファイアウォールをはじめとする既存のネットワーク機器やサービスの活用でもリスクを低減できます。一般的なフィッシング攻撃のステップを図1に図解しましたので、この図に沿って解説します。

	1. メール送信 攻撃者はメールに偽サイトへのリンク、もしくは偽サイトへのリンクを含むファイルを添付してターゲットに送信します。このリンクや添付ファイルをチェックすることで偽サイトへのアクセスをブロックします。弊社製品ではWildFireを使うと実現できますので、各種設定について以下を参照してください。 メール内のリンクを分析する メールの添付ファイルを分析する
	2. 偽サイトへアクセス 精巧に作られたメッセージに騙されたユーザーは、リンクをクリックして偽サイトへアクセスします。偽サイトへのアクセスをネットワークレイヤで検出・ブロックする方法として、以下のようなものがあります。 フィッシングを含む既知の攻撃に利用されたドメインのほか、未知のドメインであっても機械学習で予測して検出できるようなサービスを利用します。弊社製品では、これをDNS Securityで実現しています。 フィッシングやマルウェアはどの組織もブロックすべきですが、ゲームや音楽といったサイトへのアクセスについては組織や業種によって判断が分かれることでしょう。このため、悪意のあるキャンペーンのツールに頻繁に使用されるような、新規作成ドメイン（NRD）へのアクセス制御など、組織のポリシーに沿ったきめ細いセキュリティを実現します。弊社製品では、URL Filteringを利用することで、アクセス先のWebサイトを69種類ものカテゴリに分類して可視化ときめ細かな制御が行えます。 機械学習を利用して未知のフィッシングや悪意のあるスクリプトを検出できるようにします。弊社製品では、これをURL FilteringインラインMLで実現しています。 昨今のフィッシングサイトは、セキュリティ製品による検出回避のために、企業の認証情報を詐取する前に CAPTCHA（相手がボットでは無いことを判断するために文字や画像内容の識別するようユーザーに指示する）を経由させたり、すべての HTML 要素を動的に javascriptで生成したりすることが多くなっています。そこで、こうした回避が行われているフィッシングサイトでも検出し、従業員が認証情報を送信できるサイトを制御できるサービスを利用するようにします。弊社製品では、Advanced URL FilteringでリクエストごとにリアルタイムのURL分析を実施し、CAPTCHAを悪用してセキュリティ製品を回避するようなフィッシングサイトを検出し、クレデンシャルの送信制御を実現しています。 攻撃者がインフラの匿名性を保つため悪用している防弾ホスティングへのアクセスをブロックします。弊社製品ではこのために、防弾ホスティングIPアドレスリストが利用できます。一度設定すると定期的に更新されるため、常に最新情報での保護が可能です。
	3. クレデンシャル入力 偽サイトへ誘導されたユーザーは、指示に従って認証用IDとパスワードを入力します。ユーザーがクレデンシャルを送信するこのタイミングが漏洩を防ぐ最後のチャンスです。 制限されたカテゴリのサイトにユーザー名とパスワードが送信された場合は、それが組織で利用している有効なクレデンシャルかどうかを確認し、その結果によって送信をブロックするか、ユーザーに対してクレデンシャルの送信を行わないよう警告するページを表示するようにします。弊社製品では、これをクレデンシャルフィッシング防御機能で実現しています。

まとめ

フィッシングは人を騙す技術が中心のため、ユーザー教育が重要になります。手口や傾向を知ることで未然に攻撃を防ぎ、騙されてもすぐに対応をすることで被害を最小に抑えることができます。しかし攻撃者の手口は高度化しており、さらにフィッシングに使われるトピックによっては普段注意深い人でも騙される可能性があります。全ての人が常に本物と偽物を見分けることは現実的には不可能なため、フィッシング攻撃には教育だけでなく技術的対策も不可欠となります。既にパロアルトネットワークスの次世代型ファイアウォールを導入している場合、セキュリティサブスクリプションの追加や、基本機能として付帯されている設定を変更することですぐに本稿で紹介した対策が可能となりますので是非ご活用ください。