情報流出の防止に重要な心理的安全性

他社のシステムに侵入する『ペネトレーションテスト』を業務とする筆者が、
攻撃者の目線でセキュリティ対策について考えます。

上野 宣 氏

株式会社トライコーダ 代表取締役 上野 宣 氏

奈良先端科学技術大学院大学で情報セキュリティを専攻。2006年に株式会社トライコーダを設立。ハッキング技術を駆使して企業などに侵入を行うペネトレーションテストや各種サイバーセキュリティ実践トレーニングなどを提供。

第8回フィッシングメールを見分けるのはやめよう

新たなコミュニケーションツールがいくつも登場していますが、ビジネスにおいてメールの地位が揺らぐ気配はまだありません。攻撃者も日々新たな攻撃手法を編み出していますが、従来どおりのメールを経由した攻撃手法はまだ第一線で使われています。

メールは悪意を直接本人に届ける手段

なぜ攻撃者がメールを使うのかというと、被害者の端末に直接アクセスができるほぼ唯一の手段だからです。社内ネットワーク内の被害者の端末に、インターネット側から直接攻撃するすべはほぼありません。メールアドレスさえあれば、被害者のメールボックスにまでたどり着くことができるのです。

攻撃は、単にメールボックスに届けば成功というわけではなく、被害者にURLをクリックしてもらうか、添付ファイルを開いてマルウェアを実行してもらう必要があります。しかし「怪しいメールは開くな」と訓練された従業員は、そう簡単にURLをクリックしたり添付ファイルを実行しないことでしょう。そのため、攻撃者はあの手この手で従業員の信頼を得て、実行するように仕向けるのです。

フィッシングメールに引っかかるとどうなるのか?

マルウェアを添付したり、記載したURLをクリックさせてIDやパスワードを盗もうとするなど、無差別に迷惑メール的に送りつけられるメールのことをひっくるめて「フィッシングメール」と呼ばれています。特定の個人や組織を狙ってくる場合には「標的型メール」と呼ばれることもあります。

攻撃者は、フィッシングメールを主に2つの目的で使用します。1つは被害者の端末上でマルウェアを実行してもらうこと。もう1つは被害者が利用する何らかのサービスのIDとパスワードを盗むことです。

マルウェアを実行してもらうには、メールの添付ファイルとして送るか、URLをクリックした先からマルウェアをダウンロードさせるなどの方法があります。うっかり実行するとマルウェアに感染して遠隔操作されたり、ランサムウェアなどの被害に遭ってしまうことがあり危険です。

IDとパスワードを盗むには、URLのクリックを促して「フィッシングサイト」と呼ばれる偽Webサイトに誘導する方法があります。攻撃者は被害者が普段使っているWebサイトなどを調査して、そっくりなドメイン名を取得。用意したWebサーバーに、元のWebサイトからHTMLをコピーして見た目がまったく同じ偽Webサイトを作ります。そして、ログインを装った画面から、IDやパスワードを入力させてだまし取るわけです。

フィッシングメールのだましのテクニック

被害者に添付ファイルの実行やURLをクリックしてもらうためには、メールの内容を信用させる必要があります。よく使われる手段には次のものがあります。

●差出人(From)の偽装

メールの差出人を本物と同じ名前やメールアドレスに見せかけたりする。差出人の偽装は非常に簡単。

●リンク(URL)の偽装

リンク先の見た目を本物に偽装し、本当のリンク先を偽WebサイトのURLに変える。HTMLメールを使うことで偽装は非常に簡単。

●心理的にだますテクニック(ソーシャルエンジニアリング)

被害者を信じ込ませるために、本物と同じメールの文面やロゴ画像、急ぎの対応を促すなど、日本語の文章も今では自然なものも多く、自分だけはだまされないという過信は禁物。

攻撃者も一発勝負ではなく、被害者と何度かメールのやりとりをして信用させる手口も使ってきます。場合によっては、乗っ取ったメールアカウントでメールを送ってくるので、本物そっくりどころではなく、本物のメールを送ってくることもあるのです。

フィッシングメールを見分けることは無理

偽物のメールもWebサイトも、見た目を本物同様に作ることは容易です。フィッシングを見分けるのにHTTPSなどの暗号化は役に立ちません。また、メールのセキュリティ対策であるSPF(Sender Policy Framework)やDKIM(DomainKeys Identified Mail)などの送信ドメイン認証も、乗っ取られたメールアカウントからの送信には効果を発揮しません。攻撃者は、高度な心理的だましのテクニックを使ってくるため、フィッシングメールや偽Webサイトだと見分けるのは相当困難です。職業柄うたぐり深い筆者でもだまされてしまう自信があるぐらいです。安易に「見分けよう」とか「注意しよう」といった従業員任せの解決方法は諦めた方が良いでしょう。

誰にでもできる対策は「メールに記載されたURLはクリックしない」ことです。多少面倒かもしれませんが、そのWebサイトにアクセスする必要があるのであれば、ブックマークなどから確実に公式Webサイトにアクセスするようにしてください。

「添付ファイルは送信者本人に確認するまで開くな」と言いたいところですが、現実的には難しいでしょう。添付ファイルに対しては技術的なセキュリティ対策が有効です。

一例ですが、Googleが提供するGmailは高度な対策が施されています。Gmailユーザーを狙おうとしてマルウェア入りの添付ファイルを送ったとしても届く可能性は相当低いのです。つまり、正しいセキュリティ対策を取ることで危険な添付ファイルを避けられる可能性は高まります。

巧妙なフィッシングメールから違和感を感じとるのは難しいかもしれませんが、「疑う」ことは大切です。「フィッシングメールかも?」とか「だまされたかも?」といった場合や、怪しいかどうかを自分で判断できないときは、社内の情報システム部門や公式Webサイトなどに問い合わせてみるのも良いでしょう。

(「SKYSEA Client View NEWS vol.85」 2022年7月掲載)

ページのトップへ
「SKYSEA Client View」導入相談カフェ「SKYSEA Client View」導入相談カフェ
「SKYSEA Client View」導入相談カフェ