スピアフィッシングとは、攻撃者が標的型攻撃において利用するソーシャルエンジニアリング戦術の1つです。スピアフィッシングは、攻撃対象者の知人もしくは信頼している人物や団体(同僚や名の知られた組織など)を装ったメールを送り付け、騙すことで、アカウントクレデンシャルのような機密情報を開示させるか、不正なリンクをクリックさせるか、または悪意あるコードが埋め込まれた文書をダウンロードさせようとします。

また、この手法は、SMSメッセージやなりすまし電話番号からの直通電話を通じて、あるいはソーシャルメディアなどその他の通信プラットフォームを通じて実行される場合もあります。後者の場合、被害者の連絡先や接続先が公開されているアカウントをハッキングすることでスピアフィッシングが実行されます。

KnowBe4によれば、2020年7月から2021年7月の間に、65%の組織がスピアフィッシング攻撃の標的となったと回答しており、約半数(51%)がその期間にスピアフィッシングのインシデント数が増加したと回答し、57%の組織が毎週または毎日スピアフィッシング攻撃に遭遇したと答えているとのことです。また、半数弱の組織(45%)が同じ件数のスピアフィッシングを経験しており、攻撃件数が減少したと答えた組織はわずか4%でした。

スピアフィッシングが懸念される理由

GBHackersによれば、スピアフィッシングが組織にとって重大な懸念となる理由として、次の4つが挙げられるとのことです。

スピアフィッシングの手口が巧妙化している

かつて攻撃者は、.ZIPアーカイブや悪意あるOfficeドキュメントのみを利用して、スピアフィッシングメール経由でマルウェアを拡散していました。このような攻撃は、強固なメールセキュリティ対策で簡単に見破ることができました。しかし今日、攻撃者は、悪意ある添付ファイルには一般的ではないファイル形式を使用しており、Google DriveやDropboxなどのクラウドサービスを悪用することでフィッシング関連のランディングページをホスティングするようになっています。

このような手法を用いることで、攻撃者は、スピアフィッシングメールの検知を回避し、それがターゲットの受信トレイに届く可能性を高めています。もう1つの手法として、ディープフェイク技術を利用して、音声およびビデオフォーマット経由で個人になりすますことが挙げられます。この手法は、近い将来、実際に使用される可能性があります。

ディープフェイクとは、機械による合成メディア技術であり、素人目には極めてリアルに見えるテキストや動画を生成し加工するものです。これは、文化、地政学、セキュリティに大きな影響を与える可能性があります。ディープフェイクには、次のような3つの形態があります。

  • 模倣フェイク:AIを利用して、ある人物の映像をターゲットの映像に重ね合わせることで、その操作を強化し隠蔽する手法です。これは、高度な「グリーン・スクリーン」プロセスであり、実際にはある人物にすべての話をさせているにもかかわらず、動きやジェスチャーに至るまでのすべてを、別の人物に見えるようにする手法だと考えてください。
  • ジェネレーティブ(生成型)フェイク:この手法にもAIアルゴリズムが採用されています。この手法は、上記のMITのビデオに見られるように、既存の素材から新しい音声と映像を完全に合成し、非常にリアルなコンテンツを作り出すために使用されます。
  • ジェネレーティブ(生成型)テキストフェイク:これはより一般的なテクノロジーであり、OpenAI社のGPT-3のようなAIアプリケーションを利用することで、ほとんどすべてのテーマについて、実際の人間の文章に驚くほど近いテキストコンテンツをコンピューターに生成させるものです。

これらのアプリケーションは、悪用された場合、それぞれ単独で別個の脅威をもたらします。しかし、これらを組み合わせることで、近い将来、本物と見分けることが極めて困難な「ジェネレーティブ(生成型)ペルソナ」が作り出される可能性があります。

誰もがスピアフィッシングのターゲットになる(またはなりすまし被害に遭う)可能性がある

スピアフィッシング攻撃を実行する人物は、取締役や経営幹部、さらにはCEOをターゲットにすることや、彼らになりすますことが多くなっています。実際、このような形式のスピアフィッシングは、大物を釣り上げると意味で「捕鯨(Whaling)」と呼ばれることすらあります。

悪意あるアクターは、捕鯨インシデントに成功すると、ハイレベルな従業員や経営者のメールアカウントをハッキングすることで、組織全体におけるフォローアップ型の攻撃を行えるようになります。ソーシャルメディアへの投稿やオンライン上に公開されている記録を通じて、個人の画像や動画を簡単に入手できるため、ディープフェイクがこの問題に新たな局面をもたらすことは間違いないでしょう。

コロナ後にスピアフィッシングが急増した

今回のCOVID-19パンデミックはさまざま影響を及ぼしましたが、その1つとして、脅威アクターがより効果的にスピアフィッシング攻撃を遂行できるようになったことが挙げられます。その理由として第一に、脅威アクターが、COVIDを利用することで、経済刺激のための給付金の支給や地域ごとのワクチン提供のお知らせのような、新たな「疑似餌(ルアー)」を使ってターゲットを狙うようになったことが挙げられます。

第二の理由として、多くの従業員が自宅から企業ネットワークに接続するようなリモート/ハイブリッドワークモデルを採用せざるを得なくなったことが挙げられます。このような環境では、従業員は、オフィスに常駐していた際に学んだセキュリティのベストプラクティスに従う可能性は低く、自宅での設定において疑わしいメールの添付ファイルをクリックする傾向が強くなります。

従来のセキュリティツールでは効果がない

スパムフィルタとメールセキュリティは、スピアフィッシング攻撃に対する防御に大きく貢献します。しかし、上述したように、スピアフィッシング攻撃はますます巧妙化しており、脅威アクターは、従来の防御策を回避するために自らの手口を変えつつあります。

従来のアンチウイルスおよびエンドポイント保護ツールは、ポリモーフィック型マルウェアやリパックされたマルウェアには効果がなく、ゼロデイエクスプロイトやファイルレス攻撃、ターゲットネットワーク上に既に存在する正規プログラムを利用するliving-off-the-land(環境寄生型)攻撃のような高度な技術には、まったく歯が立たないことが知られています。

電子メールによる防御ではスピアフィッシングの兆候を見逃す可能性があるため、エンドポイントとネットワークの防御を強化し、より巧妙に環境をハッキングする手段を捕捉できるようにすることが強く推奨されます。

スピアフィッシング攻撃から身を守るには

企業や組織は、電子メールセキュリティツールを導入し、最新バージョンに更新することで、そして従業員のセキュリティ意識を高めるトレーニングをしっかりと行うことで、スピアフィッシング攻撃のリスクを軽減できます。しかし、このような対策だけでは、本気を出した攻撃者から組織を守るには十分ではありません。なぜなら、攻撃者は、組織内にいる1人のターゲットに、本来クリックすべきでないリンクをクリックさせるだけでよいからです。

問題は、組織内のターゲットをハッキングしようとする最初の試行が行われた際に、すべてのスピアフィッシング攻撃が特定されるわけではないことです。さらに悪いことに、スピアフィッシング攻撃が成功すると、攻撃者はネットワーク内に最初の足場を築くことになります。そこからさらに攻撃の段階が進みますが、多くの場合、攻撃はしばらくの間、検知されないままとなります。

もちろん、企業や組織はその他にもさまざまなセキュリティツールを利用しており、それらのツールは絶え間なくアラートを発行し続けます。しかし、アナリストがトリアージや調査を行い、他のアラートとの照合を通じて自分が実際のセキュリティイベントを目撃しているかどうかを判断するためには、多くの時間が必要となります。そして、ここでは時間こそがクリティカルな要素であり、平均検知時間(MttD)と平均修復時間(MttR)を短縮することが、企業や組織のセキュリティプログラムにおける成功を測るための真の尺度となります。

セキュリティチームは、対処すべき正当な問題があるかどうかを判断するために、このような手間のかかる作業をすべて手動で行うことに起因するノイズや「アラート疲れ」を解消できるようなプラットフォームを必要としています。そのためには、 オペレーション中心のアプローチの採用を可能にするようなソリューションが必要となります。このソリューションにより、メールセキュリティ関連のテレメトリを、ネットワーク全体(エンドポイント、ユーザーペルソナ、アプリケーションスイート、クラウドワークロードなど)から収集したその他のテレメトリと相互に関連付けることによって、検知をより確実でより早期に実現できるようになります。これにより、企業や組織は、継続的な脅威の監視と検知の取り組みを強化し、自動対応オプションを活用することで、悪意ある操作を攻撃シーケンスの早い段階で特定し、終了させることが可能となります。

XDR(Extended Detection and Response)ソリューションを導入すると、企業や組織は、これらの機能に加えて、より多くの機能を利用できます。従来のEPPEDRNGAVなどのツールとは異なり、XDRソリューションは、ノイズを排除し、コンテキストリッチな相関関係を自動生成することで効率を向上させます。これは、異なるソースから収集した組織のすべてのセキュリティ関連テレメトリを活用することで、攻撃を受けているかどうかを迅速に判断するものです。

これにより、セキュリティ担当者は、テレメトリを手動で収集して相互に関連付ける必要がなくなるほか、大量のアラートを追跡する必要もなくなります。アラートが誤検知であることが判明するのは、長時間の調査の後だけです。また、AI駆動型のXDRソリューションを使うと既知の悪意ある活動に対する対応を自動化できるほか、アナリストがどこからでもクリックするだけで対応できるように詳細な修正プレイブックを提供できます。

高度なXDRソリューションは、スピアフィッシングの防御をさらに一歩進め、環境内で観測された活動をMITRE ATT&CKフレームワークにマッピングすることで、スピアフィッシング攻撃で利用されるその他の戦術、手法、手順をより深く理解できます。MITRE ATT&CKフレームワークへのマッピングにより、AI駆動型のXDRソリューションは、攻撃者の複合的な行動を構成するステップとサブステップを迅速に識別します。これにより、影響を受けるすべての資産に対する攻撃のタイムラインとシナリオ全体を、根本原因から明らかにすることができます。

またサイバーリーズンでは、Google Cloudと共同開発した“AI駆動型XDR” 「Cybereason XDR」を 2022年夏より日本市場向けに提供開始を予定しています。AI駆動型のCybereason XDRは、これらのテクノロジーに加えて、Google Cloudとのパートナーシップを活用することで、世界規模のテレメトリの取り込み、分析、正規化を実現します。

ホワイトペーパー「MITRE ATT&CKを使用してクローズドループ式のセキュリティプロセスを作成する5つの段階」

このホワイトペーパーでは、MITER ATT&CKを使用してクローズドループの戦術的なセキュリティ対策を実施するために参考にすべき、重要な5つの段階について説明します。
https://www.cybereason.co.jp/product-documents/white-paper/3259/

ホワイトペーパー「MITRE ATT&CKを使用してクローズドループ式のセキュリティプロセスを作成する5つの段階」