本ブログ記事は、2020年11月11日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。
大量配信型フィッシングとは?
世界で最も一般的なサイバー詐欺の一つであるフィッシングは、見た目には正常な電子メールを送信することで、人々を騙して個人情報を漏えいさせ、マルウェアが埋め込まれたファイルを開かせます。一般に、ありふれたフィッシング攻撃が大規模かつ大量に行われます。サイバー犯罪者は、ほとんどの人が知る有名なブランドになりすました電子メールを大量に送信します。わずかな割合でも、電子メールを受け取った人がたまたま顧客であることを見込んで、あわよくば、その顧客が詐欺リンクをクリックし、アカウントの詳細情報を脅威アクターに提供してくれることを当てにしているのです。
「spray-and-pray」アプローチとも呼ばれることもある、大量メール送信型のこのフィッシングキャンペーンにより、大量に送信されたフィッシングメッセージのほんのわずかでも何とか標的に命中すれば、サイバー犯罪者は利益を得ることができます。全世界で 1 日に 34 億通を超える偽装メールが送信されており、その大部分が手当たり次第の大量フィッシングキャンペーンによるものです。たとえこのうちの 0.5 パーセントでも標的に命中すれば、1 日あたりのフィッシング被害者数は何千万人にもなります。
調査の結果、著しく高い割合の企業ユーザーがフィッシングリンクをクリックする傾向にあることがわかっています。最新の数字では、平均して 37.9 % のユーザーがフィッシングの手口に騙されています。
サイバー犯罪者が標的型フィッシングを好む理由
それにもかかわらず、フィッシングを行うサイバー犯罪者は自身のことをビジネスマンだと思っています。たとえ、そのビジネスが違法だとしてもです。収益を最大化する方法を常に追求するとともに、その実現のためには、フィッシングを利用し、狙った標的の共感を呼ぶ詐欺メールをうまく作成する必要があるということも理解しています。
たとえば、Office 365 ユーザーを騙して偽の Microsoft ログインサイトにアカウントの詳細を入力させることを意図した詐欺メールの場合、高収益を上げる犯罪者は、登録済みの Office 365 ユーザーに限定してフィッシングメールを送信することで成功率が高くなることを理解しています。
攻撃者は少ない数の被害者からより多くの利益を得ることを期待して、さらに正確な標的をクローズアップする傾向が強まっています。このような標的型フィッシング攻撃では、被害者を特定の集団に限定するか、スピア型フィッシングの場合は、攻撃者が特定の個人を標的とします。
標的型攻撃によって、被害者を罠にかける詐欺メールの作成が容易になり、さらに本物らしく、説得力のあるものにできます。またそればかりでなく、価値の高い標的に的を絞ることもできます。攻撃者はスピア型フィッシングを利用することで、特定のビジネスクリティカルなマシンの侵害、または価値の高いビジネスアカウントへのアクセスの獲得に注力でき、その結果、高い収益が得られます。
近年、ある特定のスピア型フィッシング攻撃の下位分類によって企業が特に激しく打撃を受けています。いわゆるビジネスメール詐欺(BEC)です。これは、シンプルな認証情報収集よりもやや複雑な詐欺です。金融口座を管理する担当者を騙して、攻撃者の利益になるように送金先の銀行口座を変更させることを目的としています。BEC では通常、標的を騙して多額の金銭を犯罪者宛てに送金させます。たとえば、BEC のスピア型フィッシングを行う犯罪者は銀行口座の変更に関心のあるサプライヤを装い、十分に対象を絞り込んだ電子メールを企業の経理担当者に送信します。
このような標的型攻撃では、かなり多くの偵察、なりすましでのソーシャルエンジニアリングの高度化、攻撃者による技術的なアジリティが必要です。しかし多くの場合、こうした付加作業によって、数十万ドルから数百万ドルの利益を一挙に獲得することが可能となります。FBI によると、2019 年における組織の損失額は BEC だけで17 億 8,000 万ドルにも上るとのことです。
事例:標的型フィッシングの仕組み
標的型フィッシングは、さらに複雑な攻撃を実行するためのリソースおよび技術的な手段を持つ高度化されたハッキング集団の間で特に好まれています。たとえば、BlackBerry が監視している、あるハッキング集団には、非常に高度な手法およびインフラストラクチャを利用して標的型フィッシングを成功させた何年にもわたる実績があります。
最近、「BAHAMUT(バハムート)」と呼ばれる集団の歴史とスパイ技術の詳細が、BlackBerry® のリサーチ & インテリジェンスチームが作成した包括的な脅威レポートで報告されました。フィッシング攻撃(数ある中でも特に非道な手法)の事例として見ると、BAHAMUT の活動は、犯罪者が一般に以下の手段を利用して標的型フィッシングの土台を設計していることを示しています。
意図的な偵察業務:BlackBerry は脅威アクターのフィッシング行動の分析を通じて、BAHAMUT がフィッシング攻撃を行う前に標的に関する詳細情報を大量に所有していたことを確認しました。これは疑いなく、フィッシング攻撃の前に一斉に行われる活発な偵察業務の結果でした。
一例を挙げると、BAHAMUT は中東の政府高官およびジャーナリストを標的としていましたが、そのときにはすでに標的の個人メールアドレスを把握し、フィッシング攻撃の試みが企業または政府のメールアカウントに転送されるのを回避していました。
説得力のある偽サイト:BAHAMUT による早期の情報収集の多くは、時間をかけて作成されたさまざまな偽 Web サイトを通じて行われたものです。こうしたサイトには、偽のログインサイトをはじめとし、フェイクニュースのサイトや偽のソーシャルプロファイルがあります。これらを駆使して「説得力のある表面的な正当性」を作り出し、マルウェアを実行し、フィッシングキャンペーンのバックエンドインフラストラクチャを提供します。
たとえば、BlackBerry が確認した事例では、BAHAMUT が管理する偽のソーシャルメディアプロファイルは、ジャーナリストの信用の構築および標的への関与に使用され、同じネットワークのフィンガープリントを共有する資産に転送されています。また、BlackBerry は、コードの大半をインターネットのどこからか盗用した「空の」Web サイトを 12 個ほど発見しました。これらの Web サイトは発見時に使用されている形跡はありませんでした。
強固で動的なインフラストラクチャ:BlackBerry は過去 1 年間にわたって BAHAMUT の活動を監視すると同時に、毎週、新しいフィッシングインフラストラクチャの出現を注視していました。他の調査で過去に観察されているものと同様に、高度に標的化されたスピア型フィッシングの活動の多くが、ドメインや成功率に応じて数時間から数か月間、あらゆる場所で続きました。BlackBerry の調査の結果、「絶えず動き続けるこのインフラストラクチャの採用によって、リアルタイムの検知がほぼ不可能になる」ということが報告されています。
標的型フィッシング攻撃の防止
BAHAMUT 脅威グループのような攻撃者がかつてないほど高度化するにつれて、普通のユーザーが標的型フィッシングのメッセージおよびスピア型フィッシングの試みを見抜くのはますます難しくなります。つまり、フィッシングの防御には、従業員と雇用主の両方のレベルで強力な連携と行動が必要です。
従業員へのアドバイス
従業員は、通常のセキュリティ原則を使用して自分の役割を果たすことができます。たとえば、セキュリティソフトウェアで自分のデバイスをすべて確実に保護します。また、自動更新を有効にして、既知の修正可能な脆弱性がフィッシング攻撃に悪用されないよう徹底します。
さらに、パスワードが盗まれたときのアカウントの乗っ取りを防止するには、多要素認証(MFA)によるアカウントの保護が大いに効果的です。
雇用主へのアドバイス
雇用主は、定期的な従業員研修を通じてフィッシングに対する意識を高めることでユーザーを支援します。攻撃者がよく使用する詐欺メールの種類がわかるように、研修にはフィッシングシミュレーションの要素を含めます。さらに雇用主は、会社のデバイスと従業員所有のデバイスの両方に対応する充実したエンドポイントのセキュリティ制御 をユーザーに提供する必要があります。
最後に、企業は自社のドメインが偽装され、従業員および顧客の不利益になるように使用されることを防止するために、DMARC 認証を利用して自社ブランドをフィッシングのなりすましから保護できます。
