フィッシング詐欺は、データ侵害につながる最大の攻撃ベクターで、攻撃者がユーザーを騙して資格情報を入手したり、悪意のあるコードを実行させたりするための簡単で効果的な手法です。組織は、特定の目的をもった攻撃者が従業員をフィッシングしようとすることを完全に阻止することはできません。 しかしながら、攻撃を成功しにくくすることは可能です。 エフセキュアコンサルティングのディレクター Riaan Naudé(リアン・ノーデ)は、そのためには侵入経路における抵抗力を最大限に高めることが必要だと述べています。 今回のホストのJanne Kauhanen(ヤンネ・カウハネン)が、サイバーセキュリティサウナのエピソード 51でRiaanと語ったところによると、企業は侵入のキルチェーンの初期段階に対処することで、フィッシング攻撃者を苦しめることができます。また、このエピソードでは、フィッシングシミュレーションの最も重要な指標、フィードバックが重要な理由、そしてユーザーが引っかりやすいフィッシングEメールについて語られました。
Janne:ようこそ、Riaan。
Riaan: 今日はお招きいただき、ありがとうございます。
どういたしまして。 私の経験では、組織が侵害される方法は2つに大別できると思います。フィッシングとパッチ未適用による脆弱性です。パッチの適用は簡単ではないのですが、その脆弱性を見つけることは容易で、安価にできるようになりました。しかし、フィッシング対策に万能ツールはありませんね?
おそらく、多くのセキュリティベンダーはその意見には反対で、万能ツールはあると言うでしょう。しかし、ことフィッシングに関しては万能ツールがあるとは言えません。
Riaan Naude
そうですね。 それでは、攻撃者はフィッシング攻撃によって何を得ようとしているのですか?
一般的に、彼らが得ようとしていることは2つあります。1つは、支払いプロセスを理解できる情報またはパスワードの取得です。 もう1つは、マクロの実行や、何かをクリックさせたりすることを望んでいます。
大まかに言えば、この2つが彼らの狙いです。私たちはこれらを阻止したいと思っています。
では、攻撃者の視点でフィッシングを考えることは、この脅威を予防し、検知・対応する上でどのように役立つのでしょうか?
攻撃者がどのように会社をターゲットにするかを理解できれば、攻撃者が取るであろう攻撃のステップを把握でき、そのステップごとに予防策を講じたり、検知機能を設置することができます。フィッシングに対する従来のアプローチは、「ここをクリック」と書かれたも部分をクリックしないようにすべきだというもので、フィッシングを単純なものと見做し過ぎています。
しかし、現実はそれほど単純ではありません。人がクリックしてしまうことはわかっていますが、誰がクリックするのか、何をクリックするのかを把握する必要があります。
なるほど。では、ここでの最終的な目標は何でしょうか?攻撃を完全に止めることはできません。なるべく標的から逃れられるように、攻撃者にもっと時間と技術と資源を投資させ、あきらめさせようとすることでしょう?
最終的には、ある程度攻撃を阻止することが目標です。皆さんは、脅威アクターの機能ピラミッドなど考えたくもないでしょうが、あえて想像してみてください。底辺には、単純なスクリプトキディや経験の浅い攻撃者が存在していて、一番上には最も経験豊富な攻撃者がいます。非常にシンプルな攻撃なら予防することができ、確実に阻止できます。
一方でAPTを防ぐことは現実的ではありません。大量のリソースと優れたスキルをもった攻撃者が標的を決めたら、必ず侵入されてしまいます。
しかし、自分の会社を攻撃する攻撃者の視点で捉えてみると、少なくとも攻撃を検知できる可能性は高くなります。すべてを防ぐことはできないという前提に立って、標的にされた場合に何が起こるのか、攻撃者の現実的な行動を想像してください。 そして、何が起こるかを予測する方法がわかれば、検知機能を構築することができます。攻撃が発生した時に、できる限り迅速に把握できれば対応をとることができます。
そのとおりですね。以前、あなたとフィッシングについて話したことがありましたが、多くの人にとってフィッシングとは、単に最初の足掛かりを築いて、ペイロードを配信するものでした。しかし、あなたはもっと広範な捉え方をしています。それについて少しお話しいただけますか?
私とセキュリティに関する話をしたことがある人なら誰でも、私がすべての事象をサイバーキルチェーンと関連付けることを重んじていることに気づいたと思います。キルチェーンとは、ロッキード・マーティン社が提唱した言葉ですが、エフセキュアではこれを少しアレンジして、以下の8つのステップに構成しなおしていますが、その内容を簡単にご紹介します。
まず、「情報収集」フェーズがあります。攻撃者は、標的とする企業名をGoogleなどの検索エンジンで検索して標的とする企業の調査を開始する段階です。
次は「配信」フェーズです。ここでは、従来からのフィッシングが使用されます。パッチ未適用のシステムへのリンクや添付ファイルに隠された悪意あるペイロードなどをターゲットに送ります。
その後が「攻撃(コード実行)」フェーズです。ここで配信されたペイロードのコードが実行されます。
続いて「永続化」フェーズです。これは、全ての攻撃者にとって必ずしも永続性を確保しなくても良いため、オプションになります。 深く潜入する必要はなくても、攻撃者であれば、システムを再起動したり、何かが発生したときに、通信を取り戻せるようにしておきたいと思われます。
その次が、「遠隔操作」です。ここで初めて攻撃者が標的の環境とやり取りを開始します。また、環境に関する何らかの情報を内部的に取得します。そのため、コードが実行され、攻撃者によって制御されたシステムにペイロードが配信されます。
それから内部偵察が行われ、社内ネットワークが調査されます。そこでは、攻撃者にとって興味深い情報が見つかります。ネットワークそのものや、Active Directoryを見ることもできます。
その後、システム内を動き回るようになりますが、これが「横展開」の段階です。
そして最後に、目標があります。それは一般的に、攻撃している環境の種類によって異なります。金融の環境であれば、個人情報や財務情報を標的にしていると考えることができますが、小売業であれば、価格情報に目を向けていたり、やはり個人情報を探している可能性があります。これは業種によって異なります。
従来のフィッシングは、「配信」フェーズとして捉えられており、Eメールを配信するだけと捉えられていました。しかし、攻撃者がフィッシングをする前に、何らかの情報収集活動を通してフィッシングの対象を理解する必要がある点を意識する必要があります。
もし、攻撃者が自分たちをターゲットにした場合、どのような種類の情報を入手することができるかは把握することができます。求人広告にはどのような掲載されている情報や、LinkedInに掲載されている情報を理解すべきです。外部からのEメールを受け取った時に「この人はどうやって自分のメールアドレスを知り得たのだろう?」と思うことがよくあります。もし、企業がLinkedInで従業員の詳細な情報を公開していると、攻撃者はその従業員に狙いを定めることができます。
その後、配信、つまりEメールがターゲットに送信されます。現在、ほとんどの企業では、WebゲートウェイやEメールゲートウェイが設置されているため、すべてのタイプのURLやEメールを送ることができません。どのようなURLであればユーザーの受信ボックスに届けられるかを把握するのは、セキュリティチームの責任です。どのような種類のペイロードを配信できるでしょうか? たとえば、ほとんどの環境では、.exeファイルは許可されていません。しかしペイロードを実行する方法は他にも数多くあります。マクロを有効にした文書、HTAファイルなど、何が配布できるかを正確に把握することが大切です。
URLの場合は、悪意のあるものとないもの、あるいは金銭に関わるものなどに分類されます。URLには特定の分類方法があるため、自社の環境で許可されている種類を正確に把握することができます。ほとんどの企業は何らかの除外セットを持っています。
もちろん、「遠隔操作」では、アクセス可能なURLの種類とほぼ同じで、URLが環境に配信された後、このホストに通信を行う必要があるからです。例えば、インターネット上のIPアドレスに直接通信できるかどうか。それともURLを経由する必要があるのか?
したがって、これらの各ステップを1つずつ確認していくと、攻撃者が実行すべきアクションの詳細なリストを作成できます。そして、攻撃者がフィッシングを仕掛けてきた場合は、少なくともその攻撃の見え方を示すことができます。
わかりました。攻撃者は、目標に向かってキルチェーンを完成させ、ゴールに到達する必要があります。それでは、私たちはどう対処すればよいのでしょうか?それぞれの段階での簡潔な答えを教えていただけますか?攻撃者の目論みを狂わせるためには何ができるのでしょうか?
たとえば、「情報収集」フェーズでの対応については、一般的にはポリシーに基づいて行われますが、ユーザーがインターネット上に公開している内容ができるだけ制限されていることを確認する必要があります。
求人情報では、使用している技術に関する情報をいたずらに共有しないようにします。「McAfee製品のエンジニアを探しています」と求人広告を出すと、攻撃者は社内ネットワークにMcAfeeがインストールされていることを知ることになるからです。これは、すべてのコントロールに当てはまります。
「配信」フェーズでは、自社の環境に最小限の情報だけが通過できるように、予防的コントロールを実装します。たとえば、すべてのユーザーがマクロを使った表計算のシートを受け取る必要はありません。すべてのユーザーがHTAファイルやURLを受信する必要はありません。したがって、特定のユーザーグループごとに必要とされない情報をできる限り排除します。
また、コード実行については、最近では多くの環境で行われていることですが、コード実行ポリシーを設定します。そうすれば、特定の種類のファイルしか実行できなくなります。Eメールで配信されたものを実行されないようにするなど、可能な限り制限をかけます。
遠隔操作では、やはり新しい斬新なWebページへの通信を防ぐことが重要です。過去数週間以内に登録されたばかりのWebページの場合、それにアクセスしたり、アクセスを許可したりする必要はありません。
このようなコントロールを実施します。つまり、それぞれの段階で非常に深く掘り下げられているのですが、極めて簡単に可能な限りの予防をすることができます。一方で検知における闘いは、これ以上に重要でかなり複雑になります。
了解しました。フィッシングとペイロード配信の段階について話すとき、セキュリティチェーンで最も弱いリンクは従業員だとよく言われます。というのも、数千人の従業員がいる企業に対して攻撃を仕掛ける場合、そのうちの誰か1人をだますことができれば良いからです。これには対処しようがありません。しかし、ソーシャルエンジニアリングに対して従業員を鍛えれば、大きな強みになる可能性があります。この点についてどのように考えていますか?従業員を防御の最前線にするには、どうすればよいでしょうか?
ユーザーが最も弱いリンクだと言うのは、業界としてはちょっと怠慢ではないかと思うことがあります。従業員はかけがえのないものです。彼らがビジネスを回しているのです。セキュリティチームは、彼らを守るために最善を尽くす必要があります。セキュリティチームと従業員は立場が違うという考え方ではだめです。全員が同じ企業の従業員なのですから。
ユーザーを巻き込みましょう。従来、ユーザーを啓蒙するトレーニングの考え方は、「クリックしてはいけない」ということを教えることが目的でした。できるだけフィッシングにだまされないようにするために、とにかくクリック率を下げるという考え方です。
しかし、私は人々に教えるべきことは、むしろフィッシングEメールを報告することだと信じています。セキュリティ意識向上トレーニングでそのことを教えていることは知っています。しかし重点が置かれているのはクリック率です。もちろんクリック率も見るべき指標です。「Eメールでクリックした人はわずか2%、あるいは1%です。」と言うのも良いことではあります。
検知機能の一環として、標的にされた従業員には、そのフィッシングEメールをできるだけ早く報告させることが極めて重要になります。これによりフィッシング攻撃が発生していることを検知できます。これを迅速に行うほど、より速くセキュリティチームが対処することができます。
はい。私の経験から言うと、中小企業の中には、フィッシング対策に専従するセキュリティチームを抱えていない企業もあれば、明確な手法さえない企業もあります。たとえば、今日フィッシングEメールを受信した場合は、どうすればよいでしょうか?フィッシングを報告する方法はすべて同じではないことはわかっていますので、そのEメールをセキュリティ担当者に転送するだけでは、必要な情報がすべて含まれているとは言えませんね?
はい。Eメールを転送する場合は、[転送する]をクリックしてそのEメールを送信すると、技術的な観点で重要なヘッダ情報が失われてしまいます。この情報は、ほとんどのセキュリティ担当者が必要としています。そこから詳細な情報が得られるからです。
したがって、フィッシングEメールを簡単に報告できるようなソフトウェアを導入していない企業は、ユーザーがそのEメールを添付して、セキュリティチームに転送することをお勧めします。この方法でEメールを添付すれば、少なくともヘッダ情報は保護されます。セキュリティチームには必要とする情報があります。
あとは、Eメールを見て判断できるセキュリティスタッフが組織にいることを願うばかりです。
はい。そのとおりですね。ほとんどの企業は少なくとも何らかのIT機能を持っていますから、それを支援するチームやIT技術者が現場にいるはずです。
このような中小企業にとって、フィッシングEメールがどのような意味を持つのか、特に中小企業にとっての意味についての情報を手元に持っておくことが重要です。なぜなら、大企業だけがフィッシングの標的にされているわけではないからです。中小企業の財務部門も標的にされています。それは結局、攻撃者にとって金銭的価値があるからです。
これは中小企業にとって良いアドバイスですね。それでは、それなりの規模の企業の場合、フィッシングへの対応はどのようにすべきでしょうか?
フィッシング対策は比較的難易度の高い対策になります。一般的に、SOCアナリストやセキュリティオペレーションセンターは、企業の規模が大きいほど、大量のフィッシングEメールが殺到するからです。また、フィッシングEメールだけでなく、スパムもあり、誤検知も発生します。
多くのユーザーは、フィッシング攻撃がわかると被害妄想に陥り、想定外だったことをEメールで報告します。それでもかまいません。それはユーザーがしなければならないことです。想定外のEメールを受け取った場合は報告すべきですが、セキュリティオペレーションセンターに報告されるすべてのEメールは、担当者の時間を費やすものだということは忘れないでください。また、企業規模によっては、個人やセキュリティアナリストでは対応しきれないほどの量になります。
そのため、何らかの自動化をすることで、環境に対して悪意のあるEメールを除外する必要があります。しかし、技術的にはフィッシングEメールの特長をまったく備えていないEメールでも、文面によってはフィッシングであるケースもあるため、かなり厄介です。
たとえば、「これをダウンロードしてくれなければ、あなたの犬あるいは猫を人質にします。」と伝えることができます。つい感情的になり、攻撃者の言いなりになってしまう可能性がありますが、技術的な観点からすると、悪意のあることを示すものは何もありません。悪意があるのは言葉だけです。
これは非常に難しい闘いです。基本的なレベルでは、フィッシングEメールをできる限り迅速に処理する効率的なメカニズムを備えたチームが必要です。可能であれば、Eメールのトリアージを自動化して、報告された数百通のEメールのうち、実際に調査や注意する必要とするものを10通だけに絞り込みます。これにより、SOCアナリストは、悪意のある確率が極めて高いEメールだけを受取ることで、毎日無駄なEメールの処理に追われることから解放されます。
そのとおりですね、了解しました。エフセキュアラボでは、フィッシングEメールや悪意のあるペイロードなどを毎日チェックしています。そのため、お客様には、「この攻撃は他では見られません。」「この攻撃はお客様の業界で起きています。」「これはコモディティ化した攻撃と見做されます。」と言える立場にあります。これは防御側にとって価値があるでしょうか? 攻撃への対応方法に何らかの影響を与えているのでしょうか?
2つの理由から絶対に価値が有ると言えます。Eメールを受信した際に、お客様に「これは以前にも見たことがあります。」とお伝えすることができれば、それは、これが悪意のあるものだとわかり、既に分析済みということになります。
それは同時に、必ずしもお客様企業だけを標的にしているわけではないということでもあります。むやみやたらに多くの企業に拡散させているのかもしれません。もちろん、だからといって危険性が低いということではありませんが、特に標的にされた場合には、攻撃者にはより強い動機があるかもしれないということに注意すべきです。
理にかなっていますね。従業員の話に戻ると、意識向上トレーニングは無駄な努力だという意見を聞くことがあります。全員を捕まえることができないのと同じように、全員を啓蒙することはできないというものです。それなら、なぜ努力するのでしょうか?あなたはどのように考えていますか?
確かに、ほとんどのセキュリティ技術者にとって、セキュリティ意識向上トレーニングは、まゆつばで、ばかげた訓練のように思えるかもしれません。しかし実際には、検知機能の中でも非常に重要な要素となります。
業界の実情として、セキュリティ意識向上トレーニングは、セキュリティチームが担当しないことが非常に多いのです。人事部または意識向上の専任チームが担当しています。そのため、トレーニングを行うチームと、その後の対応を必要とするセキュリティチームの間には、しばしばギャップが生じます。
セキュリティ意識向上トレーニングはユーザーに注意すべきことを教える重要なものです。たとえば、緊急性を訴えたり、エンドユーザーの感情を揺さぶるようなEメールの場合には、一瞬立ち止まって何が起きているのかを考えるように教育する必要があります。そのようなことを教えられるまで、ユーザーはそれについて考えたこともないかもしれません。
つまり、平均的なユーザーには、緊急性を訴え、特にリンクや添付ファイルがあるEメールを受取った際には、不快に感じてもらいたいのです。
しかし本当に重要な事は、ユーザーのクリックを止めることではないと思っています。そのEメールの報告方法をユーザーに知ってもらう事です。Eメールを受け取った後、できるだけ早くそのEメールをセキュリティチームに届けて調査してもらうにはどうすれば良いのかということです。
なるほど。また、セキュリティトレーニングにも良いものと悪いものがあります。私が見たセキュリティトレーニングで使用しているビデオで、ノートPCを抱えて歩いている男性が映ります。そして「この男性のためにドアを開けてあげますか?」との質問が流れます。私が答えるなら。現実世界では、「はい」です。しかし、このテストでは「いいえ」と答えるべきなのは十分理解しています。では、フィッシングで話題になったレベルまで従業員を引き上げるための効果的な方法は何でしょうか?何に気をつければよいか理解することでしょうか?次に何をすればいいのでしょうか?どのようにして人々をそのレベルへ引き上げるのでしょうか?
そこで私たちがとったアプローチは、実際にユーザーをフィッシングする実践的な方法でトレーニングを行うというもので、これは重要なアプローチだと考えています。ユーザーにEメールを送信して、「フィッシングはこのようにして行われます」。と伝えることもできます。もし、ユーザーがトレーニングの演習でだまされた場合は別の問題になります。
トレーニング演習では、自社から実際に送信されるフィッシングEメールが使われます。人々が本当に騙されるような内容であり、実際に騙されているのです。騙された瞬間に、「あなたはフィッシング詐欺に引っかかりました。これは、あなたが気をつけるべきことでした。そして今後克服すべき課題です。」というポップアップが表示されます。
その場でトレーニングされるのです。個人的には、フィッシングEメールに引っかかったときには、言いにくいですが少し恥ずかしい思いをするものです。
のとおりですね。
フィッシングに関してよく引き合いに出される話があります。多くの人が「私はフィッシング詐欺に遭ったことがない」と言いますが、そのような人たちは、おそらくフィッシングされたことがあるはずですが、それに気づいていないだけです。
私がイギリスに移住して間もない頃、まだ南アフリカに銀行口座を持っていました。この銀行では、パスワードをオンラインでリセットすることを許可していなかったため、支店に出向く必要がありました。しかし、イギリスにこの銀行の支店はありません。数日間パスワードをリセットしようと試みましたが、ある日、「パスワードのリセットを許可します。」というEメールが届いたのです。「銀行カードか携帯電話を持っていれば、パスワードをリセットできます。」それは素晴らしいと思いました。 そのリンクをクリックして、プロセスに従って操作を始めました。
そして、文字を打ち始めたところ、Webページの色合いのせいなのか、フォーマットのせいなのかは覚えていませんが、何かがおかしいことに気づきました。そして、URLを見て、これはフィッシングEメールであることがわかったのです。実は私への攻撃は、あまり価値のないものでした。なぜなら、そもそも私はパスワードを覚えていなかったので、彼らが欲しがっても渡すことはできなかったからです。
しかし、重要なことは誰でもだまされるということです。誰もが何らかのきっかけで、気持ちが引きずられる状況があります。それは私にとってよい演習になりました。
したがって、リアルに思えるような演習を行うことが大切です。攻撃者が現実世界で想定しているような演習です。そのような演習をすると、ユーザーの中に「攻撃者が私から何かを得ようとした場合、このようなことが起こる。そして、これが私のやるべきことだ。」という心構えができます。
「誰も私をターゲットにするはずがない。なぜ私をフィッシングする必要があるのか?」と豪語するユーザーは必ず存在します。しかし、個人であっても、企業の従業員の立場であっても、何らかの形で標的にされることを誰もが想定しなければなりません。
そのとおりですね。つまり、会社の従業員であれ、従業員になる人であれ、おそらく会社のためになることをしようとしているのでしょうから価値があるのです。
はい。誰が言ったのか、どこから来たのかわかりませんが、誰かのパスワードを知る最も簡単な方法は、その人に聞くことです。
そして、これこそがフィッシングの得意とするところなのです。誰かに何らかの情報を提供してもらったり、何かをしてもらったりすることを、非常に効果的で卑劣な方法で要求します。これらのEメールは完璧に見えますから。想定していた通りの姿になりすまします。そして、多くが善意のユーザーなので、Eメールを送った人を助けたいだけなのです。そういった側面もあるのです。
はい。セキュリティ意識向上トレーニングはクリック率を下げるためのものではない、というあなたの考え方はとても共感できます。というのも、シミュレーションしたフィッシングをクリックしてもらえば、「この状況ではこうすべきでした。」というような即時トレーニングを提供することができるわけです。これは興味深いことですね。本物のフィッシングにだまされないようにするのがゴールですから、可能な限り減らしたいですね。
ユーザーに何もクリックしないように、と言うのは非常に難しいことです。エフセキュアの社員であれば、社内で調査が行われていることを知っています。その調査の一環で、「このリンクをクリックして、これを実行してください。」と書かれている正規のEメールが送られます。それがまさに攻撃者がしていることです。
そのため、「ここをクリック」Eメールが正規のものか不正なものかを区別するように指導します。これは、あなたが想定していたEメールですか?これは、あなたにとって通常のEメールですか?ユーザーが何を見るべきかを示します。そのEメールのどこを見れば、それが不正な、フィッシングの可能性のあるメールだとわかるのかを明らかにします。
わかりました。ここでの重要なポイントは、フィッシングEメールの受信を報告させて、可能な限り本物のフィッシングEメールを収集することです。なぜそれが実現しないのでしょうか?人々が受け取ったフィッシングを報告する上で、どのような障害があるのでしょうか?
企業によって異なりますが、単純に報告する先がわからないだけかもしれません。また、転送先のEメールアドレスを探すのに時間がかかるようであれば、ユーザーは転送しないかもしれません。私のような不精者なら、Eメールの宛先を探す努力をしないでしょう。
まさかそれはないでしょう。最近のエフセキュアでは、まず社員が実践しています。しかし以前は、恥ずかしい話ですが、誰にメールすべきかわからなかったことがありました。
そうでした。つまり、そのような情報が常に見られるとは限りません。どこで見れるのかを知っておく必要があります。しかし、おそらく最も簡単な方法は、このような機能を持つ内部メールボックスがある場合、単純に「phishing@mycompany.com」など、ユーザーが覚えやすい名前を付けることです。
そして、今は在宅勤務なので、あまり関係ないかもしれませんが、オフィスのカフェテリアにポスターを貼ったり、ユーザーが常に情報を得られるようにしておくことで、何らかのセキュリティインシデントが発生した場合に、何をすればいいのか分かるようにしておくことです。つまり、火災避難のためにしていることと同じです。消防士のためにやっていることです。救急箱の場所は常に把握していますね。
同様に、ITセキュリティ関連のインシデントが発生した場合の対処法についても情報を共有すべきです。フィッシングEメールを報告する最も簡単な方法は、ボタンを用意して、単純にクリックするだけで、一度にすべての状況を報告できまるようにすることです。少なくとも、それをクリックすればよいことを知っていれば、送信できてフィードバックが得られます。
最近の自動化されたトリアージシステムでは、ユーザーに「すばらしい、本物のフィッシングの試みが報告されました。」、「トレーニング演習を完了しました。」、「これは正規のEメールでした。」「このEメールはクリックしてかまいません。」などのフィードバックを配信することができます。
ええ、そのフィードバックは重要です。もしユーザーがフィッシングEメールを報告しても、フィードバックがなければ「誰も気にしていないかもしれない。私も気にすることはない」と考えるかも知れません。
まさに、おっしゃるとおりですね。私としては、フィードバックがポジティブであれネガティブであれ、たとえフィードバックがなくても、Eメールを受け取ったらセキュリティチームに送ります。自動応答は得られず、フィードバックもありません。したがって何も起きていないと判断します。何も起きていないとしたら私がやったことの価値は何でしょう? だからこそフィードバックを得ることが重要になるのです。
そのとおりですね。先ほど、フィッシングを受けた個人的な経験を話して頂きました。私の経験ですが、ある時、人事部からEメールが届きました。よく覚えていませんが、何かの人事ポリシーを改訂するという内容で、私はそれが自分にマイナスの影響を与えると感じました。そして、私は怒りにまかせてそのEメールをクリックしたのです。その瞬間に、「私はこのEメールにとても感情的に反応してしまった。まさに攻撃者が望んでいることだ。」と思いました。そして案の定、それはトレーニング演習だったのです。
その他に、フィッシング詐欺に関するクールな闘いの話はありますか? フィッシング詐欺に厳しく対処したことで、攻撃者があきらめて去っていったような成功例はありますか?
一般的にクールなフィッシングストーリーは、攻撃者の視点から見たものであり、私たちのレッドチームが行ったことでもあります。一例として、私は個人的にはこのフィッシングに関与していませんでしたが、ある想定をした環境を標的にしたことがありました。ある程度のレベルのOSを導入している環境を想定したのです。
ほとんどの環境には、Windows 7またはWindows 10以降を搭載していると想定したわけです。しかし、標的となった特定の環境では、ペイロードが実行されませんでした。実行されないので、コールバックも得られず、何が起こったのかわかりません。
しかし幸運なことに、とても親切なユーザーが、「聞いてください。あなたが送ってくれたものは動きません。」と言ってくれたのです。そこで、レッドチームがこのユーザーと親しくなり、Windows XPシステムを使用しているために.NETのバージョンが正しくないことが判明しました。
さまざまなやり取りを経て、マルウェアが実行されなかった理由をトラブルシューティングすることができました。このユーザーは、「このペイロードを送ったらこうなる、そのペイロードを送ったらそうなる」と言ってくれました。もちろんWindows XPには PowerShellがありません。それで判明しました。そして、実際に動作する新しいペイロードを作り、ユーザーがそれを実行してくれたので、誰もが大満足でした。
(笑)素晴らしいことですね。
そして、それは現実世界でも、本物の攻撃者によって起こされていることです。なぜなら、マルウェアはインターネット上のあらゆる場所に存在していると考えられているからです。実際に起こっていることですが、その背後には必ず人間がいることを理解する必要があります。悪事をもくろんでいる人間がいて、彼らが介入してくるのです。
おっしゃる通りです。だからこそ、私たちはフィッシングのシミュレーションも行っています。また、レポートメカニズムを提供することだけでなく、人々をトレーニングすることも防御に役立つと言うことでした。では、どのようなことが特に効果的だとわかったのですか?あなたが行ったフィッシング演習において、鮮やかだったと思うテクニックはどのようなものですか?
現実の出来事はいつも非常にエキサイティングですから、それにかこつけた作り話をすることで、すでに攻撃の糸口はつかめたも同然です。
例を挙げると、パンデミックが始まった時に、世界の多くの航空会社が倒産しましたが、イギリスでも経営破綻した航空会社がありました。Flybe社です。当日、私たちのチームはキャンペーンを計画し、「Flybe社は倒産しました、クーポンの返還を要求するにはここをクリックしてください。」というキャンペーンEメールを送信しました。当時、人々は休暇を取って旅行に行くことを望んでいたので、その感情に訴えれば、クーポンを失い休暇が台無しになる事を恐れて思わずクリックします。
新型コロナウイルスは、今でもとてもポピュラーで、よく引き合いに出されるテーマです。「ワクチンの準備が整いました。ここをクリックして申し込んでください。」など、関連すればどのようなことでも良いのです。
また、フィッシングする方法についても、関連する多くの話題があります。たとえば、ユーザーに「ここをクリックしてボーナスを請求してください。これは機密情報です。同僚には教えないでください。あなたには今年の特別報奨金が支給されます。」というようなEメールが送られます。クリックするとボーナスなどないことがわかり、どうして支給されなかったのか考え込みます。それが怒りに変わります。そんなシミュレーションはしたくありません。ここでもバランスが重要になります。バランスを取るべきです。
あなたがこれまで見た中で、最も変わったフィッシングEメールの手口はどのようなものですか? 成功するとは思えないフィッシングEメールが信じられないほど成功したり、攻撃者のEメールを見て、なぜ人々がだまされるのか不思議に感じたことはありませんか?
フィッシングの場合、ユーザーは高額な金銭が絡んだ手口に引っかかりやすいと思われるでしょう。Boseのヘッドセットを欲しがったり、何千ユーロもする賞金を欲しがりそうですが、実はコーヒーのような安いものにつられるのです。
ですから、シンプルに「ここをクリックすると、本日カフェテリアでコーヒーが無料で飲めます。」と言えば良いのです。皆、コーヒーを飲みたいので、間違いなく多くの人がクリックします。金額は問題ではないのです。たった今、望んでいることだからです。
賞品がいかに取るに足らないものであっても、そのためにビジネスを犠牲にすることがあるのは興味深いことです。詐欺者が求めているのは感情的な反応です。考える前にクリックしてもらいたいのです。
1,000ユーロのボーナスよりも、無料のコーヒーの方がもっともらしく思えますね。
そのとおりです。1000ユーロのボーナスをくれるような、明らかにフィッシングと思われるEメールを報告する人の方が多いです。粗品になると、Eメール自体が些細なものに思え、重要性が感じられないから報告しないのでしょう。
興味深いですね。
そのため、私たちにはこのような心理学を深く理解しているチームメンバーがいるのです。なぜフィッシングがこれほど効果的なのか、経験に基づいて何が起こっているのかを把握するために調査を行ってきました。
フィッシングにおいて感情が大きな役割を果たしているのは興味深いことです。緊急性を生み出すことがいかに重要であるかということです。なぜなら、何らかの感情的な反応を引き起こすことができれば、考える時間を与える前に反応させることができるからです。
CEOやCIOなどの経営幹部になりすました、いわゆるCEO詐欺が多発しています。
「内密だが、この口座に早急資金を振り込んで欲しい。」というような内容のEメールです。受取った人は、「素晴らしい。CEOからだ。こんな大物を怒らせる前に、直ちに処理する必要がある。」と考えます。このようなことが頻繁に起こっています。支払は承認され、送金されてしまいます。
なるほど。結局のところ、何が疑わしいのかを従業員に伝え、正しいことを行えるようにすることが重要なのですね。なぜなら、従業員は正しいことさえ分かれば、それを実行したいと思っているからです。
そうですね。反復することは、トレーニングする際にも大切になります。私がまだ利用している南アフリカの銀行では、オンラインバンキングにログインするたびに、「当行は、お客様に次のようなことは決して求めません。」というプロンプトが表示されます。それは重要なことだと思います。
企業に求められる重要なことは、どのような状況下でも決して起こらないことを明確に説明することです。そうすれば、ユーザーは即座に「これは起こり得ないことだ。正常ではない。このような形でボーナスが通知されることはないし、このような形で増額が通知されることもない。」と判断することができます。物事がどのように起こるかについて非常に厳格なポリシーを持ち、その規範を逸脱したものは何らかの方法で報告するようになっていることを確認しましょう。
そうですね。とても良いアドバイスです。ところで、AIはあらゆる技術的な問題を解決しようとしていますね。ここで話した問題も解決しようとしているのでしょうか?
理想的には、おそらくそうでしょう。個人的には、AIはマーケティングに乗っ取られた言葉だという印象が強いです。技術スタッフが「これが、私たちがAIでやっていることです。」と言うことはめったにないと思います。なぜなら、AIは最近の魔法のような技術をすべて網羅したキャッチフレーズだからです。
結局のところ、フィッシングの問題を解決することを目標としている場合は、Eメールの意図を理解しなければなりません。その動機を理解する必要があります。そして、それは何よりもセキュリティに深く関わってきます。その行動の意図を理解すべきです。
可能性としては、Eメールに自然言語処理を行うことで、送信者がそのEメールで何を達成しようとしているのかという意図を理解することができるかもしれません。しかし、うまく機能するようになるまでには、まだまだ時間がかかりそうです。簡単に言うと、AIがすべての解決策にはならないということです。それでも、人間がEメール1通ごとに分析することをAIによって自動化することが、将来的には解決策になることを願っています。しかし、残念ながらAIは思っているほど単純なものではないのです。
Riaan、今日は、参加いただきありがとうございました。
Janne、お招きいただきありがとうございました。
フィッシングについてさらに詳しく知りたい場合は、Combating PhishingというeBookを当社のWebサイトで公開したばかりですので、ぜひご覧ください。また、ショーノートにもリンクを掲載しています。
それでは今日のポッドキャストを終わります。お楽しみ頂けましたら幸いです。Twitter @CyberSaunaにご質問やご意見をお寄せください。ご清聴ありがとうございました。ポッドキャストに登録していることを確認してください。
カテゴリ