ブログ(トレンド&インサイト)

Eメール・セキュリティに対する懸念事項(パート2)

セキュリティ担当者にとっての最重要課題を理解する目的で、FireEye は2019年第2四半期に、弊社のお客様を集めた調査(CAB:Customer Advisory Board)を実施しました。その結果わかった、お客様の懸念事項は以下のようなものでした:

  1. なりすましやBEC(business email compromise)
  2. Eメール・アカウントの侵害買掛金部門から送金させるために侵害したアカウントを利用すること
  3. 信頼できる第三者であるかのように装うフィッシング・メール
  4. 受信したEメールがフィッシング・メールかどうか判断できない
  5. モバイル端末に送られてきたフィッシング・メールを見抜くユーザーの能力

本シリーズの第1回では、なぜ、なりすましやEメール・アカウント侵害がお客様の優先課題となっているのか、その理由について説明し、解決のための推奨事項を紹介しました。第2回である今回は、フィッシングについて解説します。

スピア・フィッシング攻撃

この世にEメールがある限り、スピア・フィッシングは、情報セキュリティ担当者にとっての最重要課題であり続けるでしょう。スピア・フィッシングには、APT29のように非常に洗練されたものもありますが、通常、Eメールを利用した攻撃は非常にシンプルなものであり、かつ、成功率が高いのが特徴です。

2019年第1四半期の「Eメール脅威レポート」では、フィッシングが2018年第4四半期に比べて17%増加したことが報告されています。この数字を見ると、お客様の5つの懸念事項のうち、3つがフィッシング関連であるのも納得できます。図1からわかるように、2017年以降マルウェアを用いないEメール攻撃(フィッシング攻撃などのマルウェアレス攻撃)が増加する一方で、マルウェアを添付したEメール攻撃が減少しています。この傾向は2018年を経て、今年も継続しています。


図1:マルウェアレス攻撃とマルウェアを用いたEメール攻撃(出典:FireEye

図2に示すように、フィッシング攻撃は非常に幅が広いのが特徴です。左側は、ターゲットを絞らない大量のフィッシング・キャンペーンを示しています。この方法では、攻撃者は「数撃てば当たる」方式で攻撃を仕掛け、高いROI(投資収益)を得ようとします。右側は、より標的を絞った攻撃であり、攻撃者はソーシャル・エンジニアリングなどを駆使し、犠牲となるターゲットを定めます。攻撃者はLinkedInやFacebookアカウントなど、かんたんに入手可能なオンライン情報を活用し、標的とする人物のプロファイリングを行います(図3)。


図2:フィッシング攻撃の動向


図3:攻撃者による、LinkedIn上での情報収集活動

攻撃者はインターネットから収集した情報を利用して、経理などの部門に所属する社員を見つけ出します。次に、Eメールの内容をカスタマイズし、ログイン情報を盗み取る目的のフィッシング(クレデンシャル・フィッシング)などを試みます。標的となるのは、攻撃者が狙う特定の組織に所属する人、もしくは特定の役割や管理者権限を持つ人達です。経理部門やIT部門に所属する人たちが狙われるのは、攻撃者にとって利用価値が高い権限を持つからです。攻撃者は標的を騙して、フィッシングサイトへのリンクをクリックさせて認証情報を盗んだりします。

標的の情報収集には時間を要しますが、狙いを定めた攻撃は、成功率が高いことがわかっています。カスタマイズされたEメールは、一見本物の正当なメールに見えるため、標的はつい、機密情報を共有してしまいがちです。

信頼できる第三者であるかのように装うフィッシング・メール

Microsoft Office365などのクラウドベースのアプリケーションが普及するにつれ、ログインページが認証情報フィッシングとして利用されるようになりました。これの傾向も、2019年第1四半期のEメール脅威レポートで取り上げられているものです。OutlookやOneDriveなどを含めたMicrosoftアプリケーションには、それぞれ異なるログインページがあるため、マイクロソフトは、調査上でも最もスプーフィングされた企業であるという結果になっています(図4)。偽(フィッシング)ページに騙されがちなのは、これらのページへのURLが記載されたメールが、信頼できる送信元から送られてきた、正規のEメールに見えるからです。


図4:フィッシング攻撃で検出された企業(2019年Q1、一般的なスパムフィッシングEメール本データに含まず)

受信したEメールがフィッシング・メールかどうか判断できない

ユーザーにとって、受信したEメールが正当なものであるかフィッシング・メールなのか、判断がつきにくいという問題は、CABでも最大関心事であり、そこには納得できるだけの理由がありました。

個別にカスタマイズされたEメールの成功率は高く、ROIも高いのが特徴ですが、多くの攻撃者は、より効率的な攻撃方法を採用しています。なりすましとフィッシングを組み合わせることで、幅広い人達に同様のEメール送った場合にも、カスタマイズしたEメールによる攻撃と同レベルの開封率を得ることができたのです。攻撃者は、標的がよく知る人から送られてきたメールを装うため、送信者として知り合いの名前を表示させます(図5)。例えば、取引関係にある信頼できる企業(companypayments.com)のJoe Smithの場合、送信者名として表示されるのは「Joe Smith」であり、実際の送信元アドレスではありません。本当の送信者が実は badactor@adversary.com という、全く別のアドレスであったとしても、多くのユーザーはそれに気づくことはありません。仮に気がついたとしても、誰かが追加した業務上必要な受信者であると思い込み、気にしないでしょう。あるいは「なにかおかしい」と感じることがあるかもしれませんが、何がおかしいのかを正確に指摘することはできないでしょう。この迷いが、ユーザーの判断を鈍らせます。


図5:Outlookデスクトップクライアントで表示される名前のなりすまし

モバイル端末に送られてきたフィッシング・メールを見抜くユーザーの能力

モバイル端末上で読まれるEメールの割合に関するデータはソースによってさまざまですが、モバイル端末はEメールを読むために最もよく使われるデバイスであり、その数はWebメールやデスクトップの合計数を上回るということ間違いないでしょう。

図5および図6の例では、本当の送信元は badactor@advisary.com であるにも関わらず、送信元表示が joe.smith@companypayments.com であるため、あたかもそのEメールは companypayments.com から送られてきたかのように見えます。送信元表示は、送信元をわかりやすくする表示するためのユーザー定義のラベルです。モバイル版Outlookクライアントのデフォルト設定では、送信者名のみが表示されるようになっているので、本来であれば Joe Smith と表示されるはずですが、攻撃者が joe.smith@companypayments.com というアドレスを表示させて受信者をだまします。


図6:モバイル版Outlookクライアントにおける偽装表示


図7:モバイル版Outlookクライアントにおける偽装表示

図7に示すように、モバイル端末でのEメール・クライアントが表示する送信者名は、さらにだまされやすいものになっています - この例では、実際の送信元アドレスは badactor@adversary.com であるにもかかわらず、送信者名として joe.smith@companypayments.com が表示されています。

多くのモバイル端末のEメール・クライアントでは、デフォルトで送信者名表示をわかりやすく表示する設定(図8がなされているため、攻撃者の本当のEメール・アドレスを見るのは通常、困難です。

モバイル端末は非常に便利ですが、欠点もあります。小さく進化したディプレイ上で、正規のページとフィッシングページを見分けるのは非常に困難になりました。例えば、フィッシングサイトは詐称する企業のロゴを掲載していることが多いと思いますが、些末な違いを見つけるのに、モバイル端末のディスプレイは小さすぎるのです。


図8:本当の送信元アドレスを見るには、表示名のタップが必要


図9:企業ログイン画面を装った認証情報を狙うフィッシングサイトの例

URLも同様に、外見上、非常によく似た文字列であるが実際とは異なる文字列のURLであっても、それに気がつくのは困難でしょう。例えば、本物より一文字多いもの(タイポスクワッティング)や、見た目に似た文字(ホモグリフ)などがこの手法に相当します。モバイル端末の場合、リンク上にカーソルを合わせてリンク先を確認するのが困難なため、それが偽サイトの見分けを一層困難にしています。戦略的かつ巧妙な攻撃者は、Office 365 のように実在するクラウドサービスのログイン画面をコピーし、業務で用いる認証情報を窃取しようとしたりします(図9)。
攻撃者はEメール受信者の心理的障壁を下げさせ、あたかも知っている人とやり取りしているかのような錯覚を起こさせます。1通目のEメールを受信した時点で、受信者は表示されている送信者名に当たる人物とやり取りしていると信じて疑わないでしょう。

モバイル端末にまつわるもう一つの課題は、フィッシング攻撃となりすまし攻撃が一つになった攻撃です。攻撃者は図5、6にある Joe Smith のように、表示される送信者名を変更し、企業幹部などになりすまします。モバイル端末の場合、表示される送信者名が唯一の送信者に関する情報であるため、多くの受信者はだまされやすい傾向にあります。図5ではデスクトップで同じEメールをみた時の様子を示していますが、ここでは偽装前のアドレスが明示されているのがわかります。

人は上司、社長、友人、家族など、信頼できる人とコミュニケーションしていると信じていると、Eメールに記載されているURLや添付ファイルをクリックしやすくなるもので、攻撃者はその事実を熟知しています。クリックはマルウェアの感染や認証情報の盗難に繋がるため、攻撃者にとってこの方法は非常に有効なのです。

この手法は国際規模の攻撃者グループによっても利用されていることをFireEyeは発見しています。国際サイバー犯罪グループであるFIN7は、これらの手法を用いながら、ありとあらゆる業界で、価値の高い組織を標的として侵害してきました。FIN7は、信頼できる企業や政府機関の人物になりすますことで、フィッシングURLのクリック率の向上を図っていました。

推奨される対策

技術的対策と、ユーザーの教育は、フィッシング攻撃対策の両輪となりうるものです。Eメール・セキュリティ・ソリューションはマルウェアのダウンロードや不正URLのクリックといった人に関わる要素を軽減することが可能ですが、仮に不正なEメールがユーザーのメールボックスにまで到達してしまったら、次の防御はEメールの脅威について理解しているユーザーに委ねられます。

攻撃を恐れることはありません。対策は可能なのです。Eメール・セキュリティ・ソリューションを選択する際には、以下を考慮することが重要です:

  • マルウェアレス攻撃に対応可能か
  • 脅威の進化に素早く対応し、最新のなりすまし技術やフィッシング攻撃を検知することが可能か
  • セキュリティの最前線から得られた、リアルタイムの知識に基づく検知が可能か

次に、しっかりとユーザー教育を施し、フィッシング・メールを見分ける力を身に着けさせ、さらに、不審な相手とEメールのやり取りを行わないよう教育する必要があります。

FireEye Eメール・セキュリティは、なりすまし攻撃対策を含む最新型攻撃に対応しています。

ブログ:Eメール・セキュリティに対する懸念事項(パート1)はこちら

本ブログは、米FireEyeが公開した「Automated Threat Remediation for Office 365 Is Now a Few Clicks Away (Part Two)」(英語)の日本語抄訳版です。

日本語版:Reviewed by Noriko Yokokawa