テレワークで急増するラテラルフィッシングとは？

ラテラルフィッシング（lateral phishing）とは、まず正規のメールアカウントを乗っ取り、そのアカウントからフィッシングメールを送るという手法のフィッシング詐欺で、2019年頃から世界で被害が報告されています。

日本では、2019年11月に大手フィットネスジムを展開する企業がメールアカウントを乗っ取られ、多数の取引先に対してフィッシングメールが送信された事例が有名です。

本コラムでは、テレワークの浸透で急増しているラテラルフィッシングについて、実施したい対策とあわせてご紹介いたします。

1.そもそもフィッシング詐欺とは？

2.フィッシング詐欺の手口

3.テレワークで注意すべき「ラテラルフィッシング」

4.テレワークだからこそ実施したいフィッシング対策

5.まとめ

そもそもフィッシング詐欺とは？

そもそもフィッシング詐欺とは、正規の送信者になりすましてメールを送信し、記載されたURLから不正なフォームへと誘導し、個人情報やID/パスワード（アカウント情報）、クレジットカード情報などを入力させて窃取するというネット詐欺の一手法です。

メールではなく、金融機関などを語ってCD-ROMをターゲットに送りつけ、CD-ROM内のソフトウェアをインストールすると、パソコンに保存してあるネットバンキングのアカウント情報が窃取され、預金を引き出されたり身に覚えのない振り込みが行われるという手口もあります。

ちなみに、英語表記では、魚釣りを意味する「fishing」ではなく、「phishing」が使われます。

フィッシング詐欺には、特定の個人・団体を標的とした「スピアフィッシング（spear phishing）」、さらに幹部を限定して狙う「ホエーリング（whaling）」、正規のメールアドレスを用いて行われるクローンフィッシング（clone phishing）といった種類があります。

フィッシング詐欺の手口

前章でも少し触れましたが、フィッシング詐欺にはいくつかの手口があります。

メールに偽のURLを記載し、クリックさせる

オーソドックスなフィッシング詐欺の手口で、大手企業や金融機関などの信頼性の高い送信元を装ってメールを送信し、メールに記載したURLをクリックさせ、不正なフォームへ誘導した上で、個人情報やクレジットカード情報、アカウント情報などを入力させるものです。

最近は、正規ドメインを乗っ取った上でフィッシングメールを送信する「ラテラルフィッシング」が台頭しており、詐欺かどうかを見分けることが難しくなっています。

CD-ROMからソフトをインストールさせる

セキュリティソフトなどをうたったCD-ROMが郵送され、パソコンにインストールするとフィッシングサイトへ誘導されたり、スパイウェアに感染してネットバンキングのアカウント情報が窃取され、口座から預金を奪うという手口です。

正しいURLから偽のURLに転送する

ユーザーが正しいURLにアクセスしたにも関わらず、Webサイト側のリダイレクト処理の実装不備（脆弱性）が悪用されて、勝手に偽のURLに転送され、ユーザーに個人情報やクレジットカード情報、アカウント情報などを入力させて窃取する手口です。

Webサイトをマルウェア感染させ、偽サイトを表示する

オンラインバンキングなどのWebサイトにあらかじめマルウェアを感染させておき、ユーザーがアクセスすると偽のログイン画面をポップアップ表示して、アカウント情報や暗証番号などを入力させる手口です。

テレワークで注意すべき「ラテラルフィッシング」

ラテラルフィッシング（lateral phishing）とは、正規のメールアカウントを乗っ取った上で、そのアカウントからフィッシングメールを送るというフィッシング詐欺で、2019年頃から世界で被害が報告されています。

ラテラル（lateral）には「横方向の」といった意味があります。攻撃者がターゲットの内部ネットワークに侵入して偵察や窃取を行い、これを足掛かりとして被害を拡大させる攻撃行動は「ラテラルムーブメント」とよばれ、近年、被害事例が増加しています。

なぜ、テレワークでラテラルフィッシングに注意するがあるのか？

テレワークを導入し、自宅などからでも業務をスムーズに行えるよう、クラウドサービスを利用している企業は多いでしょう。なかでも、マイクロソフトが提供する「Microsoft365」を利用しているところは少なくないはずです。

Microsoft365の月間アクティブユーザー数は2億5,000万以上ともいわれます。
Microsoft365には、定額制の料金体系でコストを最適化できたり、マルチデバイス対応で1アカウントにつき5台までインストール可能で業務の柔軟性を上げられるなど、さまざまなメリットがあり、日本では会社の支給パソコンにもOfficeがプリインストールされているところが多いことから、ユーザー数が多いことが予想されます。

そして、ユーザー数が多いということは、それだけサイバー攻撃者にとって狙いやすいということでもあります。
前述の大手フィットネスジムの被害事例では、その後の調査で、Microsoft365のアカウント情報の窃取が目的であったことが判明しています。
また、海外でもMicrosoft365のアカウント情報を狙った被害事例が相次いでいます。

攻撃者からすれば、ファイル共有やSNS、個人用ストレージなどさまざまな機能を持つMicrosoft365の企業アカウントを乗っ取ることで、企業の機密情報など重要なデータを窃取することができます。

テレワークだからこそ実施したいフィッシング対策

Microsoft365を活用している企業はもちろん、ほかのクラウドサービスを使ってテレワークを導入している企業も気は抜けません。
ここでは、フィッシング対策として実施できる手段をご紹介します。

ログインの2要素認証を有効にする

2要素認証とは、認証の3要素（知識要素・所有要素・生体要素）のうちの異なる2つ以上の要素を組み合わせて認証を行うことです。

たとえば、ログインにパスワード（＝知識要素）とワンタイムパスワード（＝所有要素）の両方が必要になるといったものです。ちなみに、生体要素には、指紋や虹彩などが該当します。

サイバー攻撃者にアカウント情報を窃取されても、2要素認証にしておけば、ほかの要素を持ち得ない攻撃者にアカウントを乗っ取られる可能性を下げられます。

不正なDNSやURLの検出ソリューションを導入する

万が一、従業員が不正なURLをクリックしてしまっても、アクセスを検出したりブロックしたりできるよう、DNS通信を傍受して不正なDNSやURLを検出してくれるソリューションを導入することで、フィッシングサイトへの誘導を止めることができます。

その他、複数のセキュリティシステムを導入する

上記2つのセキュリティソリューションのほか、メールフィルタリング、Webフィルタリングなど、複数のセキュリティシステムを導入することで、よりセキュアな環境を作ることができます。
比較的、低コストで手間なく複数のセキュリティシステムを導入できるUTMを採用するのも一つの方法です。

【関連記事】
UTMとは？

上記のような対策を取ってフィッシング詐欺に備えることは重要ですが、フィッシング詐欺の手口は巧妙化しています。一度、対策を施したからといって安心できません。常に新しい攻撃が生まれていることを前提に、従業員へもメールやWebサイトへのアクセスには十分に配慮するよう周知する必要があります。

また、万が一、パスワード等が窃取されても大丈夫なように複数セキュリティシステムを導入したり、2要素認証などでフィッシングに備えることも大切です。

まとめ

日本では、2004年に初めて被害が確認されたフィッシング詐欺。一度は被害件数も落ち着いたものの、ラテラルフィッシングを機に2019年9月から被害事例が急増しており、フィッシング詐欺は、古くて新しいサイバー攻撃ともいえます。最近では、これまでのように文字情報を使ったフィッシング詐欺だけでなく、音声を使った事例も確認されており、音声を使いディープフェイクを採用したフィッシング攻撃も現れています。これらが将来的に増加する可能性も考えられます。

現状のラテラルフィッシングではMicrosoft365のアカウント情報が主な目的となっており、一度、乗っ取られてしまえば、後でパスワードを変更したところで乗っ取られた状態のままに。
そうならないためにも、多要素認証や、複数のセキュリティシステム導入などで備える必要があります。

アイネスでは、日々、巧妙化を増すサイバー攻撃から、お客様を守るための情報セキュリティソリューションを提供しております。
自社の情報セキュリティに不安をお持ちの企業様は、お気軽にご相談ください。

アイネスが提供する情報セキュリティソリューションについて詳しくは、こちらのページをご覧ください。
アイネスのセキュリティソリューション

※ 本文に掲載されている会社名・団体名および製品名は各社または団体等の商標または登録商標です。