ブログ(トレンド&インサイト)

新型コロナウイルス感染症(COVID-19)に便乗したフィッシング攻撃に備える

新型コロナウイルス感染症(COVID-19)が世の中を悩ませていますが、私たちが気にしなければならないもう一つのウイルスの存在を忘れてはなりません ― COVID-19は瞬く間にニュースのトップ記事を独占するようになりました。国、組織、個人も、それぞれがウイルスを封じ込めるため、日常生活を制限することを迫られ、ロックダウンが発生し、海外渡航が自粛され、多くの人が在宅勤務を行うようになりました。在宅勤務はビジネス継続性とディザスター・リカバリー(DR)という2つの課題をもたらします。サイバーセキュリティ観点では、急激な変化をもたらす以下の2つのリスクに着目する必要があると考えます。まず、市民の不安感を悪用するフィッシングやソーシャル・エンジニアリングの急増。そしてもう1つは、在宅勤務を行うユーザーに伴うリスクの増加です。

世界的に、そして業種を問わず、COVID-19を悪用したソーシャル・エンジニアリングやフィッシング攻撃が増加しています。FireEye Mandiant Threat Intelligenceチームは、2020年2月の初旬以降、COVID-19に便乗した金銭目的犯罪やサイバー・スパイ活動、情報活動を目的とした攻撃グループの活動の増加を観測しています。

民間企業に対して、緊急性や不安をあおり、信用に付け込んだ金銭目的の攻撃が増加しています。これらの攻撃者はEメールを使用してマルウェアを送り付け、企業ネットワークへの侵入の足掛かりを構築したり、フィッシングメール経由でアカウント情報を盗み出したりしようとします。

以下は、攻撃グループTEMP.Warlockが使用したCOVID-19便乗フィッシングメールのサンプルです。

Eメールを用いた攻撃は後を絶たないため、ユーザーへの教育とともに、技術的な対策の強化に焦点を当てていく必要があります。ユーザーの意識向上には、COVID-19に便乗したフィッシング攻撃や、ソーシャル・エンジニアリングを利用したキャンペーンが及ぼす危険性について理解させ、ユーザーがこういったEメールを受信した際に注意すべきこと、対処すべきことを明確的に伝えておきましょう。セキュリティ担当者はこれを機会にセキュリティ意識向上のガイダンスを改めて強調し、ユーザーにフィッシングメールや金銭を目的とした攻撃に対して注意するよう呼びかける必要があります。SANSUS-CERTはユーザー意識向上のためのガイドラインを提供しており、こういったものをすぐに活用することもできます。

セキュリティ意識向上とユーザー教育以外にも、フィッシング攻撃のリスク低減のため、利用中のEメール対策やその他のセキュリティ対策の見直しを行う良い機会でもあります。当面考慮すべきEメール関連の対策としてはさまざまなものが考えられますが、以下は重要です。

多要素認証(MFA)の適用

多要素認証の重要性は言うまでもありません。パスワードだけは、アカウント侵害の危険性を軽減できません。ユーザーが複数のサービス間で同じID/パスワードを利用したり、かんたんに推測できるような弱いデフォルトパスワードを使用したりするケースが多々あるからです。最低限、外部からの重要なアセットやEメールに対するアクセス、特に承認されていないデバイスからのアクセスに対しては、多要素認証を実施すべきでしょう。

多要素認証の円滑な実装にむけて、組織はすべてのサービスで使用される、利用が簡単な、一貫したソリューションを実装する必要があります。多要素認証ではSMSの利用を回避し、認証アプリケーションなどのより安全な方式を採用する必要があります。なりすましと思われる多要素認証リクエストが来た場合には報告すること、また、自身が行ったもの以外の多要素認証リクエストを承認することがないようにするなど、ユーザーの教育も重要です。

さらに、Microsoft Office 365などのEメールサービスで多要素認証を有効にする場合は、レガシー認証をブロックする必要があります。レガシー認証は多要素認証をサポートしていないため、攻撃グループは、多要素認証や他のセキュリティ制御を回避するためにレガシー認証を狙います。少なくとも、レガシー認証は企業ネットワークの外部からのアクセスで利用すべきではありません。

なりすまし対策の設定

SPF(Sender Policy Framework )、DMARC(Domain-based Message Authentication, Reporting, and Conformance)、 DKIM(Domain Keys Identified Mail)などのなりすまし対策機能が、認証失敗ポリシーおよび拒否ポリシーに対して設定されていることを確認します。

Eメール・セキュリティ・ゲートウェイの検証

Eメール・セキュリティ・ゲートウェイにおいて、すべてのセキュリティ対策機能がオンになっていることを確認します。Eメール・セキュリティ・ゲートウェイは、不正な添付ファイルおよびメール本文に記載されたURLの両方に対するチェックを行います。理想的には、単なるシグネチャーベースの検知ではなく、サンドボックスを用いた分析を活用したものであるべきです。少なくとも、特定のファイルタイプ(.scr、.exe、.chmなど)がブロックされていることを確認する必要があります。

自動Eメール警告の実装

外部から受信したEメールに、そのメールが組織外から来たことを明示する、「外部Eメール免責条項」を自動的に埋め込むフローを実装します。この免責条項が記載されていることで、受信者は、そのEメールが不明な送信者からのものだったり、予測外に受け取ったEメールだったりした場合、記載されているURLや添付ファイルをクリックしないよう注意するようになります。以下は、Eメールヘッダーを埋め込んで、このメールが外部から来たものであり、リスクがあることをユーザーに警告するメールの例です。

フィッシング報告プロセス

組織は、ユーザーがフィッシングメールや不審なメールを受信した場合に簡単でやりやすい報告プロセスを提供すべきです。このプロセスが実施されていれば、フィッシング攻撃が発生した時、即座にそれを把握して侵害された可能性のあるシステムやアカウントを検証し、封じ込めをすることができるようになります。また、不審なEメールを自動的にセキュリティ・チームに転送して検証を可能にするようなフィッシングレポーティング機能を、ユーザーのEメール・クライアントのアドオンとして実装すべきでしょう。

Microsoft Officeドキュメントのマクロをブロック

Microsoft Officeドキュメントのマクロを悪用する攻撃は後を絶ちません。これらのOfficeドキュメントは、フィッシングメールに添付されていたり、フィッシングメールに記載されているURLをクリックすることによりダウンロードされたりします。Active Directoryグループポリシー設定を「インターネットからのOfficeファイルでのマクロの実行をブロックする」に設定しておくべきです。

WebプロキシまたはURLフィルタリング設定の検証

インターネット・トラフィックは、WebプロキシまたはURLフィルタリング・ソリューションを経由するように設定されていなければなりません。理想的には、企業ネットワークからのものであっても、それ以外からのもの、例えばクラウドソリューション経由のものであっても、すべてのトラフィックがフィルタリングされるべきです。リスクの高いウェブサイト(危険なものであると判断されたり、未分類として検出されたりしたものなど)や、ビジネスに関係のないWebサイト・カテゴリーもブロックする必要があります。少なくとも、ユーザーが危険な可能性のあるWebサイトにアクセスする時に、警告が表示されるようにしておくべきでしょう。さらに、外部のWebサイトからダウンロードされたすべてのファイルは、リアルタイム・スキャンおよびサンドボックス技術を使用して、潜在的な脅威を分析する必要があります。

強力なパスワード・ポリシーの実装

FireEye Mandiantチームは、パスワードスプレー攻撃を行う攻撃グループを観測し続けています。攻撃グループはパスワード・ポリシーの弱い組織のアカウントを侵害し、SeasonYear(例えばSpring2020など)のような誰でも覚えやすいルールで設定されたパスワードを試すことに成功しています。現在のパスワード・ポリシーを見直し、特に外部に接続されているサービスにおける脆弱なパスワードの利用を技術的に制限する実装を施すことを強く推奨します。Azure ADを実装した組織では、Azure AD パスワード保護機能がこのレベルのセキュリティを実現するのに役立つ可能性があります。

パンデミックが進み、多くの従業員が在宅勤務へと切り替える中、パスワードのリセット、認証やその他の問題に対するヘルプデスクへの問い合わせが増加する可能性があります。ヘルプデスクがソーシャル・エンジニアリングの標的にならないように、問い合わせをしてきた従業員の身元を確認する方法も決めておく必要があります。たとえば、上司の名前を聞くことは、身元検証として十分な「チャレンジ」とは言えません。

十分なログとアラートが設定されていることの確認

Eメールのすべてのログが有効になっており、可能であれば、中央集中管理型のログ管理プラットフォームに転送され、適切な期間、保持されていることを確認する必要があります。Eメールサービスに脅威検知警告が組み込まれている場合は、これらの機能を有効にして、アラートを中央のダッシュボードに送信するか、セキュリティ・チームのメーリングリストに送信して、すぐに調査できるようにすることをお勧めします。

フィッシング対策インシデントレスポンス・プレイブックの開発と運用

潜在的なフィッシングの影響範囲を把握し、引き続き発生する可能性のある一連のセキュリティ・インシデント(例えばアカウントやシステムの侵害)を直ちに封じ込めるための、一貫性のある、かつ包括的なプロセスの定義が必要です。インシデントレスポンス・プレイブックの策定と運用化を行うことで、それを実現させることができます。プレイブックには、少なくとも以下の内容が含まれる必要があります:

  • 潜在的なフィッシングメールを確認する方法
  • 不正な添付ファイルまたは埋め込みURLを安全に分析する方法
  • フィッシングメールまたはその亜種攻撃メールを受信したすべてのユーザーを特定する方法(攻撃者はさまざまな件名や送信元Eメールアカウントを使い分け、一般的なフィッシング検知技術の回避を試みます)
  • どのユーザーがフィッシングメールの被害を受けたかを検証する方法(埋め込みURLにアクセスしたユーザー、添付ファイルをダウンロードして実行したユーザーなど)
  • フィッシングによって侵害された可能性のあるシステムとアカウントをすぐに封じ込め、完全に調査する方法

これらの制御は、フィッシングに関連したリスクへの対策を模索する組織にとっての出発点となるでしょう。企業は、変化を続ける脅威に適応するため、これらの制御を定期的に再評価する必要がありますが、強固なセキュリティ意識向上プログラムは、フィッシング攻撃から組織を保護するための重要な施策であることに変わりはありません。

 

本ブログは、米FireEyeが公開した March 30, 2020「With COVID-19 Themed Campaigns on the Rise, Here’s How to Manage Email Phishing Risks」(英語)の日本語抄訳版です。

日本語版:Reviewed by Noriko Yokokawa

 

関連リンク