いまさら「フィッシング」？ その緩みを突く危険な攻撃

フィッシング攻撃は広く利用されており、もはや珍しくない。だが、被害に遭ってしまうと損失は大きい。なぜフィッシング攻撃がなくならないのか。また、どうすれば対策できるのだろうか。

[Matt Kapko，Cybersecurity Dive]

　2023年のセキュリティインシデントをまとめたセキュリティ企業によれば、サイバー攻撃のうち最も多いのがフィッシング攻撃だった。

なぜフィッシング攻撃が「成功」するのか

　これほどフィッシング攻撃が広く利用されているのには理由があるはずだ。

　サイバーセキュリティ事業を営むReliaQuestが2024年3月26日に発表したサイバー脅威に関する年次報告書によると（注1）、2023年の全セキュリティインシデントの71％で、攻撃者はフィッシング攻撃を使用していた。

　同報告書によると、攻撃者が被害者の環境へアクセスするために最初に使用した戦術や技術、手順のほとんどはユーザーの操作やエラーに関連していた。無防備な被害者が信頼してクリックしたり情報を入力したりするように仕向けられることが脆弱（ぜいじゃく）性となってしまっている。

　フィッシングは、はやり廃りのない古典的な手口だ。個人をだまして機密情報を漏えいさせたり、安全なシステムへのアクセスを許可させたりするソーシャルエンジニアリングの手口は効果があり、攻撃者も好んで利用する。これらの手口は人間の行動を利用し、信頼を攻撃者の武器に変える。

主なフィッシングの手口とは

　フィッシング攻撃にはさまざまな分類があるものの、主に次のような攻撃がよく利用されている。

メールフィッシング（Email Phishing）
　 被害者に偽装メールを送信し、リンクをクリックさせたり、添付ファイルを開かせたりして、機密情報やログイン情報を盗み出す。

スミッシング（SMS Phishing）
　SMS（ショートメッセージ）を利用して、偽のリンクや偽の情報を送信し、被害者をだます。

フィッシングサイト（Phishing Websites）
　正規のWebサイトと同じデザインや似たURLを使った偽のWebサイトを作成後、被害者を誘導して個人情報を入力させる。

ソーシャルメディアフィッシング（Social Media Phishing）
　ソーシャルメディアプラットフォームを利用して、偽アカウントや偽ページを作成し、被害者をだます。

自動音声ガイダンスの利用
　電話を利用して、偽の自動音声メッセージを送信し、被害者に情報を入力させる。

セキュリティトークンフィッシング（Security Token Phishing）
　メールフィッシングやフィッシングサイトを利用してセキュリティトークンの入力を促す。

スピアフィッシング（Spear Phishing）
　特定の個人や組織を狙ったフィッシング攻撃だ。攻撃者はターゲットの情報をあらかじめ調査し、ターゲットに対して特化した偽のメッセージやリンクを送信して、信頼を得て情報を盗み出す。

　以上のような個々の手口は広く利用されている。セキュリティを強化しにくいSMSを利用したスミッシングや特に油断しやすいスピアフィッシングは危険な攻撃だ。

　ReliaQuestのマイケル・マクファーソン氏（シニアバイスプレジデント）は次のように述べた。

　「投資にかけられる費用を用意できず、巧妙な技術も持たない攻撃者でも利用できるため、フィッシングは人気の手口だ。フィッシングは人間の好奇心を利用するため、うまく機能する」

大規模な攻撃グループもフィッシングを利用

　大規模な攻撃グループもフィッシング攻撃を利用する。「Scattered Spider」（注2）は活発なランサムウェアグループの一つだ。MGM Resorts（注3）やCaesars Entertainment（注4）、Cloroxに対する大規模な攻撃に関与しており（注5）、ソーシャルエンジニアリング攻撃にも精通している。同グループは一部の攻撃でAlphVのランサムウェアも展開している。

　ReliaQuestによると、Scattered Spiderは2023年9月、ソーシャルエンジニアリング攻撃を使ってヘルプデスクの従業員をだまし、認証情報をリセットさせた。次に新しい偽の認証情報を使って多要素認証攻撃に移った。ただし、このときの具体的な攻撃対象は特定されていない。

　Scattered Spiderはクラウド管理コマンドを使用して「Microsoft Azure」の設定を変更し、侵害された環境でコードを実行できたと研究者は述べた。同ランサムウェアグループはその後、被害組織のCyberArkとLastPassの認証情報用のマスターパスワードを入手し、電子メール認証でリセットした。こうなると被害を受けた企業にはもはや防波堤が残っていない。

　ReliaQuestは、「人間との対話と多要素認証攻撃により、Scattered Spiderは、2023年に注目された攻撃のほとんどにおいて初期アクセスを獲得できた」と述べている。

　フィッシングに対抗するため、ReliaQuestは組織に対して生体認証やセッショントークンの寿命の短縮などの認証技術に注力するよう促している。マクファーソン氏は「これらの対策により、フィッシングやその他の一般的なソーシャルエンジニアリング攻撃に対する耐性を大幅に向上させることができる」と述べている。

出典：Phishing remains top route to initial access（Cybersecurity Dive）
注1：ReliaQuest Annual Cyber-Threat Report: 2024（ReliaQuest）
注2：Threat actors behind Las Vegas casino attacks are social-engineering mavens（Cybersecurity Dive）
注3：MGM Resorts’ Las Vegas area operations to take $100M hit from cyberattack（Cybersecurity Dive）
注4：Caesars Entertainment faces class action lawsuits following rewards database hack（Cybersecurity Dive）
注5：Clorox warns of quarterly loss related to August cyberattack, production delays（Cybersecurity Dive）