本ブログ記事は、2020年1月17日に米国で公開された抄訳版です。原文はこちらからご覧頂けます。
2019年末、欧州中央銀行(ECB)は、大規模な侵害の発生によりWebサイトの一つを閉鎖する必要があると発表しました。ECBのプレスリリースの内容は以下の通りです。
「外部プロバイダーによってホストされているECBのWebサイト、Banks’ Integrated Reporting Dictionary(BIRD)を保護するセキュリティ対策が、許可されていない集団によって侵害されました。その結果、BIRDのニュースレター購読者481人の連絡先情報(パスワードを除く)が漏洩した可能性があります。」
「その情報には、購読者の電子メールアドレス、氏名、役職が含まれています。ECBは現在、被害に遭ったとみられる購読者に連絡を取っているところです。」
ECBのBanks’ Integrated Reporting Dictionaryは、欧州の金融サービス業界にとって極めて重要なリソースです。侵害された個人情報には、欧州の著名な銀行家の名前が数多く見られました。サイバー攻撃者の意図は、BIRDを利用して、購読者をさらにフィッシング攻撃キャンペーンに遭わせることにあると思われます。
標的となった購読者は欧州の多大な富をコントロールする立場にあり、彼らに対するフィッシング攻撃が成功すれば、欧州の銀行システムが恐ろしいリスクにさらされる可能性があります。この世界を回しているのはお金です。巧妙化したサイバー攻撃者はお金を手に入れるために長期戦でキャンペーンを張ろうとするでしょう。
検知と攻撃ベクトル
IRDのネットワークにおけるマルウェア侵害は少なくとも2018年12月からずっと続いていましたが、ごく最近まで発見されないできました。ECBによると、侵害は定期メンテナンス中に発覚したとのことですが、BIRDのサーバーにマルウェアが注入された経緯については確認されていません。しかし、その目的がフィッシングキャンペーンを開始することだった点から、フィッシングには最初の攻撃ベクトルの役割もあったと考えられます。これは、このサイバー攻撃の実際の展開方法についてさらなる詳細が明らかになるまで、有力な仮説と言えるでしょう。
ECBのデータ侵害の本質は、金融業界を標的とする高度なサイバー犯罪者の手口について取り上げた、BlackBerry Cylanceの最新の脅威レポートで示された洞察を表しています。同レポートの内容は以下の通りです。
「BlackBerry Cylanceは、組織化された国家ぐるみの脅威集団によって引き続き、商用オフザシェルフ(COTS)ツールや、環境寄生型(LOTL)戦術、オープンソースツールが採用されていることを確認した。各種脅威ツールの採用には、実際の目的から目をそらす役割とともに、攻撃者によるマルウェアキャンペーンの遂行を促進する役割もある。」
金融業界を中心としたキャンペーンが展開される中、BlackBerry Cylanceによって確認された点は以下の通りです。
- 引き続きマルウェアは攻撃の手段として圧倒的人気を誇り、次いで、Webベースの脅威(ドライブバイ型、水飲み場攻撃(Watering-hole)型など)、サービス拒否攻撃、悪意のある内部関係者による攻撃と続く。
- ほとんどのサイバー攻撃の主なベクトルは、依然としてフィッシングやスピアフィッシングである。
ECBの侵害にはマルウェアが使われ、それがBIRDのサーバーに注入されたことで発生しました。「環境寄生型」のサイバー攻撃手法では、標的が使用するソフトウェアツールやハードウェアツールが悪用されます。ECBのサイバー攻撃者は、BIRDのWebプラットフォーム上の機密データだけでなく、プラットフォーム自体も利用して、さらなるフィッシングキャンペーンを行おうと計画していたようです。
筆者は、そのフィッシングが新たに進行中のフィッシングの攻撃ベクトルとして使われたのではないかと推測しています。この侵害は、BlackBerry Cylanceによって近ごろ金融業界で発生が確認されたサイバー攻撃の傾向に見られるいくつもの特徴に合致しているためです。
セキュリティトレーニングでフィッシング攻撃を阻止できるか
ECBが直面したような攻撃を公共および民間部門の金融サービス機関が阻止したい場合、従業員や関係者のセキュリティ意識を高めるトレーニングは大きな効果を発揮するでしょうか。一般的にはそのように認識されています。防御手段としてよく教えられるのは、フィッシングメールやフィッシングサイトをいくつかの共通指標に基づいて見分ける方法でしょう。例えば、英語のつづりや句読点、文法の間違いを探すというものです。サイバー攻撃者にとって英語が第二言語の場合、このような間違いを犯す傾向が高くなります。
しかし、サイバー攻撃者が英語のネイティブスピーカーである場合や、英語のネイティブスピーカーを雇って英語の用法に問題がないことを確認させている場合はどうでしょう。また、英語以外にも中国語やスペイン語といったよく使われる言語でフィッシングが行われるケースも少なくありません。多くのサイバー攻撃者がそれらの言語を流ちょうに操ることができるため、中国語やスペイン語、その他の言語の間違いを見つけるトレーニングを従業員に行っても、大きな効果が得られるとは限りません。
ほかにも、電子メールに添付されたURLに怪しい点がないか、ハイパーリンクに「マウスポインターを合わせて」確認するよう従業員に教育することもよくあります。とはいえ、電子メールはスマートフォンでチェックする場合も多く、モバイルデバイスでは通常マウスポインターを合わせる操作はできません。加えて、punycodeが悪用されるケースもあります。もしサイバー攻撃者が、なりすましているドメイン名のASCII文字の代わりに似たようなUnicode文字を使うことにした場合、例えば「amazon.com」と「åmαzon.com」の判別をユーザーに求めるのは難しいでしょう。
米ヴァンダービルト大学のEric Johnson氏は、従業員に対するフィッシング対策トレーニングの難しさについて指摘しています。自身の研究でそのようなトレーニングが必ずしも効果的でないことが示されたためです。
「私たちは、ある企業の内部で1,500人のユーザーを対象に、一定期間複数のキャンペーンを展開する大規模な研究を実施しました。組み込まれたトレーニングの効果が見え始めるタイミングをうかがっていましたが、残念ながらトレーニングはそれほど効果的ではなかったようです。」
それはなぜでしょうか。
「私たちはその理由について多くの仮説を立てました。まず、とにかく何でもクリックしてしまうユーザー層(特に企業のファイアウォールの内側にいるユーザー層)の場合、トレーニングによってその傾向に少しでもブレーキがかかることはないだろうと思われます。この仮説については、研究で確認済みです。私たちはこのユーザー層を『クリッカー(Clickers)』と名付けましたが、どれだけトレーニングを行おうと、クリッカーはひたすらクリックを続けました。彼らに、30秒間じっくりとリンクを観察して『本当にクリックすべきかどうか』を確認するようにさせるのは、(特に手口が巧妙な場合)非常に困難です。」
では、クリッカーと対極にあるユーザー層とはどのような層ですか。
「生まれながらにして、あるいは自らの学習を経て非常に用心深くふるまい、リンクを容易にクリックしようとしなかったユーザー層です。このユーザー層は、元々クリックしようとしないので、トレーニングを行っても大した違いが生じないのは当然でしょう。」
正規のビジネスメールがフィッシングのように見える場合
多くのビジネス活動は電子メールを使って行われていますが、Lysa Myers氏は、正規のビジネスメールを従業員に送信する企業が実はフィッシング問題の一端を担っている可能性があると懸念しています。同氏の懸念とは、従業員が回避するようトレーニングを受けたフィッシングメールのような電子メールを、正規の企業が作成するケースが多いというものです。同氏は次のように述べています。
「最近私は知らないアドレスから電子メールを受け取りました。信頼できる機関を名乗り、身に覚えのない添付ファイルを至急開くよう求めるメッセージが添えられていました。当然ながら、私はそのメッセージをフィッシング攻撃に違いないと考え、即座に削除しました。」
「ご想像の通り、慎重に調べてみると、それは重要な情報を含む正規のメッセージだったのです。ただし、メッセージの言い回しほど緊急性の高いものではありませんでした。他に気付いたことといえば、絶対に『よくわかっている』はずの人々が送る多くのメッセージが、『フィッシングっぽい』メッセージの犠牲になる状況へと受信者を追い込んでいる点です。『フィッシングを避ける』ヒントが効果を発揮する唯一の方法は、実際に信頼できる機関が犯罪者と同じ手法を用いないようにすることだといえます。」
では、従業員がフィッシングメールだと考えてしまう状況を、正規の電子メール送信者が避けるにはどうすればよいでしょうか。Myers氏は次のような対策を推奨しています。
1) 従業員に重要なメッセージが送信されることを事前に伝えておく。 まず最初に、送信者はなるべく別の手段で従業員に電子メールが届くことを知らせておくべきです。
「もし、出荷やイベントの計画など、従業員の行動を求めるような内容で電子メールを送るつもりなら、そのことを従業員に事前に知らせておきましょう。あらかじめその電子メールに関する情報(送信者の電子メールアドレスや、内容の簡単な要約など)をできるだけ多く知らせておくほど、その電子メールが本物であることを従業員がより確実に判断できるようになります。」
2) むやみに緊迫感を与えない。 フィッシングサイバー攻撃者は、その電子メールの緊急性が非常に高いと思わせるような言い回しをよく使います。標的を怖がらせてリンクをクリックするよう仕向ける必要があるためです。正規の送信者は、実際よりも緊急性が高いという印象を電子メールに与えないようにしなければなりません。
「ソーシャルエンジニアリングの手法を取り入れて従業員を怖がらせても意味がありません。御社に雇用された人々は全員が責任ある大人だと思います。パニックを引き起こす必要のないやり方で緊急度を正確に伝えれば、従業員の行動を促すことができるはずです。なるべく電子メールの送信者がメッセージの内容と合っていること、適切な権限レベルを用いていることを確認してください。」
3) 電子メールにはHTML形式ではなくプレーンテキストを使用する。 フィッシングサイバー攻撃者は、電子メールが重要かつ興味深いものに見えるようにするためには労力を惜しまないものです。そのため、画像をたくさん埋め込むなどしたHTMLメールを作成するでしょう。ダークウェブ上で売られているメディアキットによって、正規の企業を騙ったHTMLメールをかつてないほど簡単に作成できるようになっています。ビジネスリーダーはスタッフとの日々のやりとりの中でこの状況にどう対処すべきでしょうか。
「テキスト形式をデフォルトで使用して、HTML形式のコンテンツはどうしても必要な場合にのみ取り入れるようにします。なるべく、受信者がメッセージの内容を読むためにリンクや添付ファイルをクリックしなくて済むようにしましょう。従業員ができるだけ素早く簡単に情報の要旨だけでも把握できるよう工夫し、より詳しい情報を得たい場合にはメッセージに埋め込まれたリンクではなく標準的な場所(社内向けサイトなど)にアクセスするよう誘導します。」
Webベースのマルウェアを阻止するには
まさにECBが直面したような攻撃を阻止するには、フィッシングに対する知識をより多く身につけることが極めて重要になります。しかし、別の大きな問題として、Webベースのマルウェアも存在します。ECBのケースで筆者が気になったのは、ECBのBIRDサイトでどのようにマルウェアが長期間検知を逃れながら潜んでいたのかという点です。
そこで洞察を得るために筆者が目を向けたのは、米ペンシルベニア大学のJian Chang氏、Krishna Venkatasubramanian氏、Andrew West氏、Insup Lee氏が執筆したレポート「Analyzing and Defending Against Web-based Malware(Webベースのマルウェアの解析と防御)」でした。同レポートでは、Webベースのマルウェアを検知して阻止する能力を高めるために進めるべき研究分野として、次のような項目が挙げられていました。
ベンチマークプラットフォームを構築する:
「ほぼすべてのアプローチが誤検知か検知漏れに悩まされています。しかし、それらの効果を比較的に評価しようにも、一般的に認められたデータセットやテストフレームワークがありません。したがって、提案されたさまざまなアプローチを科学的に研究・比較するには、適切に設計された、基準となるベンチマークフレームワークが明らかに必要です。」
コードのマッシュアップを保護する:
「Webアプリケーションのクライアント側コードは、再利用することも外部ソースから動的に読み込むこともできます。このようなコードマッシュアップには、従来のプログラミングの枠組みとは異なるセキュリティモデルが必要です。クライアント側コードのマッシュアップが普及していることを考えれば、現在のマッシュアップのプログラミング方法が持つ柔軟性に加えて、保証されたセキュリティを実現する、強固なアプローチの設計が必須となります。」
ソーシャルエンジニアリングの手法を研究する:
「現在の検知アプローチは、主にドライブバイダウンロード攻撃によって配布されるWebベースのマルウェアに重点を置いています。ソーシャルエンジニアリング手法によって配布されたマルウェアに関する研究はごくわずかです。しかし、ドライブバイダウンロード攻撃の軽減を目的としたテクノロジーが成熟度を増し、普及が拡大していることから、攻撃者は自分たちが成功する可能性を高めようと、ソーシャルエンジニアリングの採用により一層注力していくと考えてよいでしょう。」
Webベースのマルウェアの流行の過程を研究する:
「既存の検知メカニズムは、マルウェア配布インフラストラクチャのトポロジの構築に利用できます。ただし、そのトポロジの活動性についての(つまり、ランディングサイトと配布サイトのつながりがいかに経時的変化を遂げるかを理解するための)研究は行われていません。正確な流行モデルがあれば、Webベースのマルウェアの発生と効果的に戦う上で防御メカニズムをどのくらいのスピードでどれだけの範囲に展開する必要があるかを判断するのに役立ちます。」
フィッシングとWebベースのマルウェアによって、世界で最も重要な金融機関の一つのWebリソースに大きな亀裂が生じました。私たちは、金融データを未来の壊滅的な侵害から守るために、このインシデントから学ばなければなりません。
