ラテラルフィッシング(lateral phishing)とは、まず正規のメールアカウントを乗っ取り、そのアカウントからフィッシングメールを送るという手法のフィッシング詐欺で、2019年頃から世界で被害が報告されています。
日本では、2019年11月に大手フィットネスジムを展開する企業がメールアカウントを乗っ取られ、多数の取引先に対してフィッシングメールが送信された事例が有名です。
本コラムでは、テレワークの浸透で急増しているラテラルフィッシングについて、実施したい対策とあわせてご紹介いたします。
そもそもフィッシング詐欺とは、正規の送信者になりすましてメールを送信し、記載されたURLから不正なフォームへと誘導し、個人情報やID/パスワード(アカウント情報)、クレジットカード情報などを入力させて窃取するというネット詐欺の一手法です。
メールではなく、金融機関などを語ってCD-ROMをターゲットに送りつけ、CD-ROM内のソフトウェアをインストールすると、パソコンに保存してあるネットバンキングのアカウント情報が窃取され、預金を引き出されたり身に覚えのない振り込みが行われるという手口もあります。
ちなみに、英語表記では、魚釣りを意味する「fishing」ではなく、「phishing」が使われます。
フィッシング詐欺には、特定の個人・団体を標的とした「スピアフィッシング(spear phishing)」、さらに幹部を限定して狙う「ホエーリング(whaling)」、正規のメールアドレスを用いて行われるクローンフィッシング(clone phishing)といった種類があります。
前章でも少し触れましたが、フィッシング詐欺にはいくつかの手口があります。
オーソドックスなフィッシング詐欺の手口で、大手企業や金融機関などの信頼性の高い送信元を装ってメールを送信し、メールに記載したURLをクリックさせ、不正なフォームへ誘導した上で、個人情報やクレジットカード情報、アカウント情報などを入力させるものです。
最近は、正規ドメインを乗っ取った上でフィッシングメールを送信する「ラテラルフィッシング」が台頭しており、詐欺かどうかを見分けることが難しくなっています。
セキュリティソフトなどをうたったCD-ROMが郵送され、パソコンにインストールするとフィッシングサイトへ誘導されたり、スパイウェアに感染してネットバンキングのアカウント情報が窃取され、口座から預金を奪うという手口です。
ユーザーが正しいURLにアクセスしたにも関わらず、Webサイト側のリダイレクト処理の実装不備(脆弱性)が悪用されて、勝手に偽のURLに転送され、ユーザーに個人情報やクレジットカード情報、アカウント情報などを入力させて窃取する手口です。
オンラインバンキングなどのWebサイトにあらかじめマルウェアを感染させておき、ユーザーがアクセスすると偽のログイン画面をポップアップ表示して、アカウント情報や暗証番号などを入力させる手口です。
ラテラルフィッシング(lateral phishing)とは、正規のメールアカウントを乗っ取った上で、そのアカウントからフィッシングメールを送るというフィッシング詐欺で、2019年頃から世界で被害が報告されています。
日本では、2019年11月に大手フィットネスジムを展開する企業がメールアカウントを乗っ取られ、多数の取引先に対してフィッシングメールが送信された事例が有名です。
ラテラル(lateral)には「横方向の」といった意味があります。攻撃者がターゲットの内部ネットワークに侵入して偵察や窃取を行い、これを足掛かりとして被害を拡大させる攻撃行動は「ラテラルムーブメント」とよばれ、近年、被害事例が増加しています。
テレワークを導入し、自宅などからでも業務をスムーズに行えるよう、クラウドサービスを利用している企業は多いでしょう。なかでも、マイクロソフトが提供する「Microsoft365」を利用しているところは少なくないはずです。
Microsoft365の月間アクティブユーザー数は2億5,000万以上ともいわれます。
Microsoft365には、定額制の料金体系でコストを最適化できたり、マルチデバイス対応で1アカウントにつき5台までインストール可能で業務の柔軟性を上げられるなど、さまざまなメリットがあり、日本では会社の支給パソコンにもOfficeがプリインストールされているところが多いことから、ユーザー数が多いことが予想されます。
そして、ユーザー数が多いということは、それだけサイバー攻撃者にとって狙いやすいということでもあります。
前述の大手フィットネスジムの被害事例では、その後の調査で、Microsoft365のアカウント情報の窃取が目的であったことが判明しています。
また、海外でもMicrosoft365のアカウント情報を狙った被害事例が相次いでいます。
攻撃者からすれば、ファイル共有やSNS、個人用ストレージなどさまざまな機能を持つMicrosoft365の企業アカウントを乗っ取ることで、企業の機密情報など重要なデータを窃取することができます。
Microsoft365を活用している企業はもちろん、ほかのクラウドサービスを使ってテレワークを導入している企業も気は抜けません。
ここでは、フィッシング対策として実施できる手段をご紹介します。
2要素認証とは、認証の3要素(知識要素・所有要素・生体要素)のうちの異なる2つ以上の要素を組み合わせて認証を行うことです。
たとえば、ログインにパスワード(=知識要素)とワンタイムパスワード(=所有要素)の両方が必要になるといったものです。ちなみに、生体要素には、指紋や虹彩などが該当します。
サイバー攻撃者にアカウント情報を窃取されても、2要素認証にしておけば、ほかの要素を持ち得ない攻撃者にアカウントを乗っ取られる可能性を下げられます。
万が一、従業員が不正なURLをクリックしてしまっても、アクセスを検出したりブロックしたりできるよう、DNS通信を傍受して不正なDNSやURLを検出してくれるソリューションを導入することで、フィッシングサイトへの誘導を止めることができます。
上記2つのセキュリティソリューションのほか、メールフィルタリング、Webフィルタリングなど、複数のセキュリティシステムを導入することで、よりセキュアな環境を作ることができます。
比較的、低コストで手間なく複数のセキュリティシステムを導入できるUTMを採用するのも一つの方法です。
【関連記事】
UTMとは?
上記のような対策を取ってフィッシング詐欺に備えることは重要ですが、フィッシング詐欺の手口は巧妙化しています。一度、対策を施したからといって安心できません。常に新しい攻撃が生まれていることを前提に、従業員へもメールやWebサイトへのアクセスには十分に配慮するよう周知する必要があります。
また、万が一、パスワード等が窃取されても大丈夫なように複数セキュリティシステムを導入したり、2要素認証などでフィッシングに備えることも大切です。
日本では、2004年に初めて被害が確認されたフィッシング詐欺。一度は被害件数も落ち着いたものの、ラテラルフィッシングを機に2019年9月から被害事例が急増しており、フィッシング詐欺は、古くて新しいサイバー攻撃ともいえます。最近では、これまでのように文字情報を使ったフィッシング詐欺だけでなく、音声を使った事例も確認されており、音声を使いディープフェイクを採用したフィッシング攻撃も現れています。これらが将来的に増加する可能性も考えられます。
現状のラテラルフィッシングではMicrosoft365のアカウント情報が主な目的となっており、一度、乗っ取られてしまえば、後でパスワードを変更したところで乗っ取られた状態のままに。
そうならないためにも、多要素認証や、複数のセキュリティシステム導入などで備える必要があります。
アイネスでは、日々、巧妙化を増すサイバー攻撃から、お客様を守るための情報セキュリティソリューションを提供しております。
自社の情報セキュリティに不安をお持ちの企業様は、お気軽にご相談ください。
アイネスが提供する情報セキュリティソリューションについて詳しくは、こちらのページをご覧ください。
アイネスのセキュリティソリューション
弊社は、情報サービスのプロフェッショナルとして、システムの企画・コンサルティングから開発、稼働後の運用・保守、評価までの一貫したサービスと公共、金融、産業分野などお客様のビジネスを支える専門性の高いソリューションをご提供しています。お気軽にご相談ください。