フィッシングとは、標的を騙して機密および重要情報を暴こうとするソーシャルエンジニアリング型のセキュリティ攻撃です。「フィッシング詐欺」とも呼ばれ、攻撃者はユーザーのログイン認証情報、金融関連情報(クレジットカードや銀行口座など)、企業データ、そして価値があると感じられるあらゆる情報を標的とします。
大企業はその規模、そしてセキュリティシステムにおける抜け穴から攻撃者が得られる機会を理由に、長くフィッシング攻撃のリスクに晒されてきました。フィッシング攻撃が成功した場合、攻撃の直接的な被害者となった従業員が会社を大混乱に陥れることになりかねません。企業は、侵入テストなどを介してフィッシング攻撃に対する脆弱性を評価し、その結果をセキュリティ意識向上トレーニングのプログラムに取り入れる必要があります。
最も基本的な定義として、フィッシング攻撃は多くの場合、多くのユーザー(または「ターゲット」)を狙う広範な攻撃を指します。これは、攻撃者による事前の準備を最小限に抑える「質より量」のアプローチだと考えられます。つまり、少なくとも数人のターゲットが犠牲になることを期待して攻撃が行われるのです(通常、攻撃者が得る利益はそれほど大きくないものの、最初に必要な努力が最小限という点が攻撃者にとって魅力です)。
フィッシング攻撃は一般的に、以下のような感情や欲望を利用して特定の反応(通常はクリック)を勧誘するメッセージでユーザーをエンゲージします。
「○○レストランのお食事券が当たるかも知れません」(欲望)
「ご注文を受け付けました」(混乱)
「すぐにログインしなければ、アカウントはキャンセルされます」(不安、緊急感)
攻撃者がたった1通のメールであなたの情報を入手する多くの方法があります。しかし、メールが正当であるかどうかを判断するのに役立つしるしがあるものです。
攻撃者は何年もかけてフィッシング攻撃を発展させており、その結果、攻撃者の初期努力がさらに必要となるものの、被害率または被害者当たりの「利益」価値が高い(または両方)バリエーションが生み出されています。
組織や特定の個人を標的とするようにカスタマイズされたフィッシング攻撃は、スピアフィッシングと呼ばれます。このような攻撃では、攻撃者は実行前にさらなる情報収集を行い、会社のロゴ、メールやウェブサイトアドレス、取引先、そして時にはターゲットの職務および個人の経歴などの要素も取り込まれ、できるだけ正当に見えるようにします。このような攻撃者の追加的努力は騙されるターゲットの数の多さに応じて払われる傾向にあります。
スピアフィッシングの変化形であるホエーリングは、組織の幹部またはCレベルエグゼクティブを狙います。ホエーリング攻撃は通常、標的となる幹部の役割を考慮し、的を絞ったメッセージを使って被害者を騙します。ホエーリング攻撃でターゲットがうまく騙された場合、攻撃者は非常に大きな利得を手にすることになります(例:会社口座のハイレベルな認証情報、企業秘密など)。
スピアフィッシング攻撃のもう一つの変化形にクローンフィッシングがあります。この攻撃では、過去に受け取ったことがある正当なメッセージのコピー(または「クローン」)がターゲットに表示されますが、攻撃者がターゲットを陥れるために特定の変更が加えられています(例:悪意のある添付ファイル、無効なURLリンクなど)。この攻撃は過去に見たことのある正当なメッセージを基にしているため、ターゲットを騙すのに効果的です。
攻撃者は、何も疑っていないコンピューターユーザーを標的とする新しい独創的な方法を常に模索しています。最近発生したフィッシング攻撃では、ターゲットが知っているユーザーからメールでGoogle Docが送られ、ターゲットのGoogleログイン認証情報を盗もうとする(そしてターゲットのアドレス帳にある全メールアドレスにスパムを送信する)という事例がありました。またファーミングのような受動的な種類の攻撃でも、他のフィッシング攻撃と同じ被害が起こることがあります。
攻撃者はメール、ソーシャルメディア、インスタントメッセージ、テキストメッセージ、感染したウェブサイトなど、多くのメカニズムを使用してターゲットをフィッシングします。一部の例では昔ながらの電話という手段が使われたこともあります。実行メカニズムに関係なく、フィッシング攻撃は特定のテクニックを活用して実行されます。
攻撃者がよく使う手口の1つは、悪意のあるURLを本物のURLに似せて見えるようにし、ユーザーがわずかな違いに気付かず、悪意のあるURLをクリックするというものです。これらの操作されたリンクの中には、「クリックする前に確認する」(例:真正URLのthelegitbank.comに対し、偽URLはtheleg1tbank.comなど)ことを知っているユーザーならば容易に認識できるものもありますが、見た目が似ている文字を利用するホモグラフ攻撃などは視覚的検知の効力が制限されます。
攻撃者がスプーフィングできるのはリンクだけではありません。ウェブサイトもスプーフィングされたり、FlashやJavaScriptなどを使って真正のものに見えるよう細工されたりすることがあります。そうすることで、攻撃者はURLがどのように標的のユーザーに表示されるかをコントロールできるのです。つまり、実際にはユーザーが悪意のあるウェブサイトを訪問しているにもかかわらず、サイトには正当なURLが示されているということです。クロスサイトスクリプティング(XSS)は、この攻撃をさらに1ステップ進めたものです。XSS攻撃は正当なウェブサイト自体の脆弱性を悪用するため、攻撃者は(正当なURL、正当なセキュリティ証明書が表示されている)実際のウェブサイトを提示しながら、ユーザーが提供する認証情報を密かに盗むことができます。
リダイレクトは、攻撃者がユーザーのブラウザを強制的に予期せぬウェブサイトとインタラクトさせる方法です。悪意のあるリダイレクトは通常、標的のユーザーが自らの意思で普段から訪問するウェブサイトを使用しますが、そこからすべての訪問者を攻撃者が管理するウェブサイトへと強制的にリダイレクトします。攻撃者は独自のリダイレクトコードを持つウェブサイトに侵入するか、標的のウェブサイトに存在するバグを発見することで、特別に作成されたURLなどを通じて強制リダイレクトを達成します。
名前が示すように、隠れたリダイレクトは標的のユーザーが攻撃者のサイトとインタラクトしているということを分かりにくくします。隠れたリダイレクトのよくあるシナリオでは、攻撃者が既存のウェブサイトに侵入し、ユーザーがコメントを残すためにクリックする可能性がある既存の「ソーシャルメディアアカウントでログイン」というボタンに新たなアクションを与えるというものです。この新たなアクションは、ユーザーが提供するソーシャルメディアのログイン認証情報を収集して、実際のソーシャルメディアウェブサイトに進む前に攻撃者のウェブサイトへ送りますが、標的のユーザーはこれに全く気が付きません。
以下はフィッシング攻撃の実行を防ぎ、解除するための提案です。
今回のホワイトボードウェンズデー(英語)では、上級プロダクトマーケティングマネージャーのジャスティンブキャナンが、職場におけるフィッシング脅威の検知方法を説明しています。
さらに、ユーザーとインフラシステムでマルウェアのスキャンを定期的に行い、ソフトウェアを最新のバージョン/パッチに保つことも良いプラクティスです。
出回っているフィッシング攻撃の種類や攻撃方法の幅広さは恐ろしいものに見えるかも知れませんが、フィッシング攻撃の性質、仕組み、ユーザーや組織の攻撃方法について適切な訓練を行うことで、できる限りの対策を講じ、脅威を認識して予防することができます。