本記事は、Microsoft Secure ブログ “How to disrupt attacks caused by social engineering” (2018 年 1 月 10 日 米国時間公開) を翻訳したものです。
執筆者: Milad Aslaner (Senior Program Manager, Windows & Devices Group)
10 年前のサイバー攻撃は、企業のインフラストラクチャーを直接攻撃することを目的として、マルウェアまたは複合的な手法をきっかけに開始されるものがほとんどでした。この状況は様変わりし、現在では、ID を盗み取るための洗練された 1 通のメールだけで十分です。
デジタル化は進んでおり、避けて通ることはできません。すべての業界にとって不可避であり、社会の自然な進化段階の一部です。デジタル トランスフォーメーションがいつ起こるのか、本当に起こるのかどうかではなく、どのように起こるのかが重要です。マイクロソフトのセキュリティに対するアプローチは、安全なデジタル トランスフォーメーションを実現することに焦点を当てています。お客様がサイバー犯罪に対する保護、検出および対応を実現できるよう支援することで、この目的を達成します。
ソーシャル エンジニアリングの手法自体は新しいものではなく、ブロードバンド接続がない時代から存在していました。当時、その脅威アクターはハッカーではなく、詐欺師と呼ばれていました。Abagnale & Associates 社のシニア コンサルタントである Frank Abagnale 氏は、かつてこのようなことを言っています。「昔の詐欺師は見た目が良く、温厚で、身なりに気を使い、話し方も上品でアピールの仕方をよくわかっている人でした。現在では、そのようなことが必要なくなりました。なぜなら、これらの犯罪を実行している人たちは、遠く離れた土地にいるからです。」
STRONTIUM などの脅威アクター グループは、現代版の詐欺師の集団です。従来の詐欺師と同じアプローチを取りますが、活動する場所はデジタルな世界です。重要なインフラストラクチャーに直接アクセスするための新しい抜け穴や脆弱性を見つけるよりも、高機能なフィッシング詐欺メールを送る方が簡単なため、このアプローチを選ぶのです。
米国会計検査院のチーフ テクノロジスト、Keith A. Rhodes 氏は「ネットワークに侵入するための技術的な方法は必ず存在しますが、会社の従業員を利用して入った方が簡単な場合があります。彼ら自身のセキュリティを引き渡すよう騙すのです」と話しています。
Verizon 社が 公開した 2016 年の「データ漏洩/侵害調査報告書」によると、フィッシング詐欺メールのうち 30% が開封されています。受信者は平均してたったの 40 秒でメールを開封し、その後、悪意のある添付ファイルを開くまでに 45 秒しかかかっていません。すべてのフィッシング詐欺メールのうち 89% は組織的な犯罪シンジケート、9% は国家支援を受けた脅威アクターによって送信されています。
図 1: Verizon_社の「2016 年データ漏洩/侵害調査報告書」
一番の弱点が人であることに変わりはありません。ユーザーが責められるべきだと主張する人もいますが、標的型のフィッシング詐欺メールの多くは大変洗練されており、平均的なユーザーが悪意のあるメールと正規のメールを見分けるのは不可能であるのが現実です。
図 2: 初見では正規のメールに見えるフィッシング詐欺メールの例
フィッシング詐欺メールは数分もあれば作成することができます。まず、脅威アクターはソーシャル ネットワークや専門家のネットワークを這いまわり、攻撃対象の個人情報をできる限り探します。これには組織図、企業文書のサンプル、共通で使用しているメールの見出し、従業員バッチの写真などが含まれます。公開データベースや漏えいされたデータベースから、これらの情報を引き出すプロフェッショナル ツールもあります。実際、必要があれば脅威アクターはダーク ウェブで情報を買うこともできます。例えば、侵害された 100 万個のメールとパスワードは約 25 ドル、銀行アカウントのログインはアカウント当たり 1 ドル、社会保障番号は生年月日の照合も含めて約 3 ドルで取り引きされています。次に、脅威アクターはパスワード リセットの通知など受信者が見慣れているメールのテンプレートを用意します。最後に、そのメールをユーザーへ送信します。
ソーシャル エンジニアリングは多くの脅威アクターにとって強力な手段であり、目的によってコンピューターベース、モバイルベース、またはヒューマンベースのソーシャル エンジニアリングを使い分けます。
図 3 : フィッシング攻撃のステージ
- フェーズ 1: 脅威アクターは、フィッシング キャンペーンを介して標的とする従業員を決める
- フェーズ 2: 従業員が受信したフィッシング詐欺メールを開封する。これによって、脅威アクターは悪意のあるペイロードを読み込んだり、ユーザー ID を侵害することが可能になる
- フェーズ 3: ワークステーションが侵害され、脅威アクターはマルウェアを存続させて資格情報を収集する
- フェーズ 4: 脅威アクターは盗み取った資格情報で侵入を拡大して未承認のアクセスを取得し、重要なインフラストラクチャーの構成要素を侵害する
- フェーズ 5: 脅威アクターは、PII (個人情報) や他の機密性の高いビジネス データを抜き取る
組織はEnterprise Mobility + Security、Windows 10、Office 365、および Microsoft Azure に組み込まれた機能で、これらの攻撃を止めることができます。以下は、各フェーズに対応している機能が一目でわかるよう図式化したものです。
図 4 : フェーズ毎の機能
今日、脅威アクターがサイバー攻撃を仕掛ける入口のハードルは大変低く、それ故にサイバーセキュリティは CEO が取り扱うべき問題です。組織は「ファイアウォールとウイルス対策、ディスク暗号化の技術を採用しているので安全である」という考えから離れ、「サイバー攻撃は起こりうる。壁を作ることだけに焦点を当てるのではなく、迅速に侵害を検出し対応できるようにするべきだ」というマインドセットに移行する必要があります。侵害を想定することが要です。組織の規模や業界に関係なく、すべての企業には脅威アクターや、場合によっては国民国家にとって価値のあるデータが存在するのです。
今日の世界では、情報セキュリティへの一貫した取り組みが必須です。適切なインシデント対応プロセスの整備、サイバー攻撃に対する保護、検出と対応を可能にするテクノロジの活用、そして IT とエンドユーザーの準備が完了していることが重要です。
マイクロソフトのセキュリティ製品やソリューション、またお客様のセキュリティ戦略に役立つリソースの詳細については、https://www.microsoft.com/secure を参照してください。