フィッシング：エンタープライズサイバーセキュリティに関する必須ガイド

フィッシングとは？

フィッシングとは、悪意のある行為者が信頼できる存在（組織内の有名企業や個人など）になりすまし、被害者を騙してパスワードや財務データ、ログイン認証情報などの機密情報を漏洩させるサイバー攻撃の一種です。フィッシングは通常メールを通じて行われますが、テキストメッセージ、ソーシャルメディア、その他のコミュニケーションチャネルを介することもあります。

フィッシングメールは依然として、企業のデータ漏洩、クレジットカード詐欺、個人情報窃盗に最も多く使用されている手段です。1人の従業員が偽メールに記載された悪意のあるリンクを不用意にクリックしただけで、企業全体のシステムがダウンし、企業や消費者が無防備な状態に陥る可能性もあります。社会的認識を損なう可能性は高く、欧州連合の一般データ保護規則（GDPR）のような政策では、法的措置や罰金が発生する可能性があります。

しかし残念なことに、こうした詐欺は年々巧妙化し、コストも増大し、見抜くのが難しくなっています。企業は情報漏えいの修復やイメージの再構築に追われることになります。フィッシングメールや、ソーシャルメディア、ウェブサイト、電子メッセージ上でのフィッシングメールに相当するものは、間違いなく現代のブランドや組織のセキュリティに対する最大の脅威となっています。

フィッシングの種類

フィッシングにはさまざまな形態があり、それぞれ個人や企業をターゲットにしています。ここでは、最も一般的な形態を紹介します。

• フィッシングメール：最も一般的なフィッシングの形態で、不正なメールが多数の受信者に送信され、悪意のあるリンクや添付ファイルをクリックするように誘導します。
• スピアフィッシング：フィッシングメールとは異なり、スピアフィッシングは特定の個人または組織をターゲットとし、成功の可能性を高めるためにパーソナライズされた情報を使用します。
• ホエーリング：この形態のフィッシングは、組織内で高位の役員や権力のある個人をターゲットにし、機密データを盗んだり、重要なシステムにアクセスしたりすることを目的としています。
• ビジネスメール詐欺（BEC）：BECは通常、経営幹部を標的にするのではなく、経営幹部やビジネスパートナーになりすまして従業員を欺き、機密情報を漏洩させたり、資金移動などの行為を実行させたりします。
• スミッシング：SMSやテキストメッセージを使ったフィッシングで、攻撃者は悪意のあるリンクや機密情報の要求を含むメッセージを送信します。
• ビッシング：電話を通じて行われるフィッシングで、サイバー犯罪者が信頼できる企業を装って個人情報や財務情報を収集しようとするものです。

スピアフィッシング、ホエーリング、ビジネスメール詐欺（BEC）は、企業内の特定の役割や責任に焦点を当てた詐欺行為であるため、企業にとって特に危険です。スピアフィッシング攻撃は、個人情報を使って信頼性を高めるため、従業員が詐欺メールを認識することが困難になります。ホエーリングはさらに一歩進んで、経営幹部や意思決定者を標的とし、多くの場合、同僚やビジネスパートナーになりすまして、機密データの共有や金融取引の承認を操作します。BECも高度な手口であり、詐欺師が企業のメールアカウント乗っ取やなりすましを実行し、従業員を騙して資金を振り込ませたり、支払情報を変更させたり、企業の機密情報を開示させたりします。これらの脅威は、コストのかかる侵害を防ぐためには、強固なメールセキュリティ、従業員教育、認証対策が必要であることを浮き彫りにしています。

フィッシング攻撃におけるマルウェアとランサムウェア

フィッシング攻撃は個人情報の窃取だけでなく、マルウェアやランサムウェアの一般的な配信方法でもあります。被害者が悪意のあるリンクをクリックしたり、不正なファイルをダウンロードしたりすると、マルウェアがユーザーのシステムにインストールされ、攻撃者が機密データにアクセスできるようになる可能性があります。または、被害者のファイルを暗号化してから、サイバー犯罪者がそのファイルを解放するために高額な支払いを要求するランサムウェアのインストールにつながります。

人工知能（AI）とフィッシング

AIによりフィッシングの状況は変化し、サイバー脅威はより巧妙になり、検知が難しくなっています。AIを活用したフィッシングキャンペーンでは、次のようなことが可能です：

パーソナライゼーションの自動化：AIは、ターゲット候補に関する公開情報を収集し、個人または企業に合わせた、より説得力のあるカスタマイズされたフィッシングメッセージを作成することができます。

信頼できる情報源の模倣：自然言語処理（NLP）を使えば、AIは正規の企業からのコミュニケーションのトーン、言語、スタイルを忠実に模倣したフィッシングメッセージを生成することができるため、検知はさらに難しくなります。例えば、AIは、疑わしいコミュニケーションの一般的な手がかりであった文法的な誤りやぎこちない言い回しを減らすことができます。

大規模な攻撃の展開：AIは、サイバー犯罪者が大規模なフィッシングキャンペーンを展開することを可能にし、成功の可能性を高め、不正メッセージの作成と配信のプロセスを自動化します。

つまり、AIはフィッシングの量と質を高めているのです。

フィッシングが企業に与える影響

フィッシングインシデントは大企業に重大なリスクをもたらし、財務、経営、規制に影響を及ぼします。脅威アクターは、より大規模なサイバー攻撃の入口としてフィッシングを利用し、企業ネットワーク、サプライチェーン、経営陣のコミュニケーションを悪用します。主なリスク：

• データ漏洩およびコンプライアンス違反：フィッシングは、機密性の高い顧客、従業員、知的財産（IP）データを漏洩させる、侵害の一般的な侵入ポイントです。GDPR、カリフォルニア州消費者プライバシー法（CCPA）、業界特有の法律などの規制の対象となる企業は、多額の罰金や法的責任に直面する可能性があります。
• 高額の金融詐欺：BECを含む高度なフィッシングの手口により、企業は不正送金、請求書詐欺、給与の流用などを通じて数百万ドルの損失を被っています。
• サプライチェーンの脆弱性：攻撃者は、ベンダー、サプライヤー、サードパーティサービスプロバイダーをターゲットにフィッシングを行うことが多く、サプライチェーン内の複数の組織に影響を与えるセキュリティギャップを生じさせます。
• ブランドとイメージへの損害：侵入が成功した場合、企業の評判に大きなダメージを与え、顧客、パートナー、投資家からの信用喪失につながります。
• 業務の中断：フィッシングを通じて社内システムへのアクセスを獲得すると、攻撃者はランサムウェアを展開したり、認証情報を盗んだり、社内プロセスを操作したりすることが可能になり、ダウンタイムや業務中断につながります。

フィッシング攻撃を防ぐ方法

企業は、フィッシング詐欺を防止するために、以下の対策を講じる必要があります。

従業員向けサイバーセキュリティトレーニング

従業員にフィッシングに関する詳細、不審なメール、リンク、通信を見分ける方法を教育することが重要です。定期的なトレーニングセッションやフィッシングシミュレーションにより、意識を強化することができます。フィッシングに注意するよう従業員を教育することはその第一歩ですが、デジタル資産の保護、検出、および権利行使には、効果的なポリシーと完璧な実行が必要です。

定期的なソフトウェアアップデート

フィッシング詐欺師が悪用する可能性のある既知の脆弱性から保護するために、メールクライアントやウイルス対策ソフトウェアなどのシステムが定期的に更新されていることを確認してください。

多要素認証

すべての企業アカウントで多要素認証（MFA）を有効化することで、さらに防御力が高まります。仮にパスワードが漏洩したとしても、MFAを導入することで、犯人がアクセスすることが難しくなります。

メールのフィルタリングと認証

高度なメールフィルタリングソリューションを導入し、フィッシングメールを検知し、ブロックします。攻撃者がドメインを偽装するのを防ぐため、送信者ポリシーフレームワーク（SPF）、ドメインキー識別メール（DKIM）、ドメインベースのメッセージ認証、レポート、準拠（DMARC）などのメールなりすまし対策を実装します。

SPF、DKIM、DMARC

SPF は、ドメインの所有者がそのドメインに代わってメール送信を許可するメールサーバーを指定できる、メールセキュリティメカニズムです。SPFはドメインネームシステム（DNS）レコードに認証されたインターネットプロトコル（IP）アドレスを記載することにより、受信メールサーバーが、特定のドメインから送信された受信メールが正当なサーバーから送信されたものであることを確認するのに役立ちます。認証されていないサーバーから送信されたメールは、悪意のある可能性があるものとしてフラグが立てられます。

• 仕組み：メールを受信すると、受信者のサーバーは送信者のアドレスに含まれるドメインのSPFレコードを確認します。SPFレコードに記載されていないIPアドレスからメールが送信された場合、サーバーはメールを拒否するか、スパムとしてマークすることがあります

DKIMは、電子署名を使用してドメインをメッセージに関連付けることができる、もうひとつのメール検証標準です。この署名はメールのヘッダーに追加され、送信者のDNSレコードで公開されている公開鍵を使用して受信者のメールサーバーで検証することができます。DKIMは、メールが送信中に改ざんされていないことを保証し、送信元が主張するとおりの送信者であることを確認します。

• 仕組み：メールが送信されると、DKIMはメッセージヘッダに暗号署名を追加します。受信者のサーバーは、送信者のDNSレコードの公開鍵を使用して署名を復号化し、メッセージの真正性を検証します。署名が一致すれば、そのメールは信頼できるとみなされます。

DMARCはSPFとDKIMをベースに、ポリシーとレポートのレイヤーを追加したプロトコルです。DMARCは、SPFまたはDKIMのチェックに引っかかったメールを、メール受信者がどのように処理するかをドメインの所有者が指定できるようにします。また、ドメインが不正な目的で使用されているかどうかをドメイン所有者に知らせる報告機能も提供しています。DMARCポリシーは、不正なメールのモニタリング、隔離、拒否のいずれかを設定できます。

• 仕組み：メールがSPFまたはDKIMによる検証を通らなかった場合、受信者サーバーはそのドメインのDMARCポリシーをチェックし、メッセージを配信するか、スパムに送信するか、あるいは完全に拒否するかを決定します。DMARCはまた、ドメイン所有者にそのドメインを使用して送信されたメールのレポートを提供し、フィッシングの検出と軽減をサポートします。

フィッシング攻撃から企業を守る

当社のフィッシング対策ソリューションは、フィッシングの脅威に対するカスタマイズされた防御を企業に提供し、組織のフィッシングリスク状況の包括的な把握を可能にします。当社の経験豊富なセキュリティオペレーションセンター（SOC）チームが、フォレンジックデータを収集しながら、脅威の調査および検証を行い、パターンと異常を特定します。フィッシング攻撃に対処した後も、継続的にモニタリングを行うことで、不正なサイトが再アクティブ化しないようにします。

当社のブランド保護・フィッシング対策サービスは、お客様のブランドを標的としたフィッシング脅威に対して迅速な権利行使を行います。法律、政府、インターネットサービスプロバイダ（ISP）との国際的なネットワークを駆使して、ウェブサイトのテイクダウン措置を実行します。社内の知的財産権行使チームは侵害されたドメインの回復に努め、ソーシャルネットワーク、検索エンジン、オンラインマーケットプレイスとのパートナーシップを通じて不正コンテンツの削除に取り組んでいいます。インシデント収束後のフォレンジックとデータ復旧により調査をサポートし、継続的なモニタリングを行うことで、フィッシングサイトが再び出現することがなくなります。

Domaincasting^SMは、当社のDomainSec^SMプラットフォームを搭載したインターネット最大のデジタルブロッキングネットワークであり、リアルタイムの脅威インテリジェンスを提供します。グローバルISP、セキュリティプロバイダー、通信企業、レジストラ、法執行機関からフィッシングおよびサイバー脅威のデータを集約します。Domaincastingは、独自の機械学習ディープサーチ（MLDS） 技術を使用し、単純なタイポスクワッティング手法を超えて疑わしいドメイン名を検出し、企業がリスクを迅速かつ効果的に軽減できるようにサポートします。