フィッシングの最新動向と対策ー法人組織を狙うフィッシングとは？ー| トレンドマイクロ

フィッシングの最新動向、フィッシングは減っていない

フィッシングとは、実在する企業や送信者に詐称したメールやウェブサイトを使い、重要な個人情報を盗み出すサイバ―攻撃です。

サイバ―攻撃の手口としては、“古典的”ともいえるフィッシング。ITセキュリティに長く携わる方であれば、今さら注意喚起する必要があるのかと思われるかもしれません。

しかしその手口が下火になる気配はありません。トレンドマイクロの脅威データベースによれば、フィッシングなどの各種詐欺サイトへの誘導件数はコロナ禍が始まった 2020 年から増加し、その後、2021年には過去最大を更新し、2022年以降は高止まりの状況です（図1）。フィッシング対策協議会のデータで、さらに期間を広げてみると、フィッシングの届け出件数は、2017年から2022年で約100倍近く増加していることが分かります（図2）。さらに今後は、サイバー犯罪者がChatGPTなど生成系AIの技術をフィッシングメール文面の作成などに悪用することで、フィッシングがより容易かつ巧妙になる事態も懸念されます。
こうした状況下で注意したいのが、法人組織を標的にしたフィッシングです。

図1：国内から各種詐欺サイトに誘導された利用者の端末台数の推移と内訳（トレンドマイクロの脅威データベースの集計によるもの）

フィッシング対策協議会の公表数値をトレンドマイクロが整理・グラフ化
同協議会の認知拡大による報告件数の増加を考慮しても、攻撃が減少せずに、広く行われていることが推察される

法人組織を狙うフィッシング、その手口は？

法人組織を標的にしたフィッシングには、どのような手口そしてリスクがあるのでしょうか。

・認証情報を詐取、Outlookを乗っ取る

法人組織を狙うフィッシングでは、従業員の認証情報を狙う攻撃は継続して確認されています。

さらに、2022年に行ったトレンドマイクロのインシデント調査で新たな事実が確認されました。攻撃者はフィッシングで詐取したクラウドメールの認証情報を使い、メールアカウントを乗っ取り、その後アカウントを悪用し、スパムメール送信を行っていたのです^※。

起点となったクラウドメールの認証情報詐取に利用されたのは、以下のようなフィッシングメールです。フィッシングメールの送信元アドレスは実在する企業に関連するアドレスで、メールヘッダから送信元を確認しても不審な点は見受けられないものでした。またメール末尾の署名も実在する社員の署名でした（図3）。

添付されたHTMLファイルを開くと、偽のログイン画面に誘導されます（図4）。そこで、入力した認証情報は、攻撃者が用意した不正サイトへ送信される巧妙な手口です。さらに、アカウント詐取からわずか数時間後に、Web 版Outlook 「Outlook on the web」に不正アクセスが発生し、アカウントを悪用したフィッシングメールの送信が確認されました。

こうした一連の攻撃の流れにくわえ、攻撃の起点となったフィッシングメールが送信者などに不審な点がなかったことを考え合わせると、被害原因となったフィッシングメールも同様に認証情報を詐取され、乗っ取られたものと推察できます。フィッシング攻撃により、組織内個人や関連する人物の情報が窃取され、フィッシングメールが送信される連鎖が起きているのです。

この事例で確認できた被害は、認証情報の詐取と、それを悪用したOutlookメールアカウントの乗っ取り、そしてそれを悪用した更なるフィッシングメールの送信でした。しかし、マイクロソフトアカウントはMicrosoft 365 などのクラウドサービスのほか、Windows のログインにも使用されることを考えると、クラウドサービスの認証情報詐取により、情報の盗み見から被害組織のネットワーク侵入まで、様々な侵害が可能になるという大きなリスクをはらんでいるといえます。

^※トレンドマイクロセキュリティブログ：フィッシング攻撃で詐取された情報を悪用した二次被害事例を確認

図4：偽のマイクロソフトアカウントのログイン画面の例。メールに添付されたHTML ファイルを開くと表示される

・過去には経営幹部など特定人物を狙うフィッシングも

組織を無差別に狙うだけでなく、経営幹部といった組織内の特定人物を狙うフィッシングも過去には確認されています。

日本を含む企業の経営幹部を狙ったフィッシングキャンペーンを、トレンドマイクは2021年に報告しています^※。Microsoft 365を偽装したフィッシングメールと偽サイトで、認証情報の詐取をねらった攻撃で（図5）、日本、米国、英国、カナダ、オーストラリア、欧州諸国など様々な国の製造業、不動産業、金融機関、政府機関、技術産業内の組織が標的になっていたことを確認しました。

調査を進めた結果、この攻撃に利用されたフィッシングキットにより構築されたこの他のフィッシングサイトも突き止めることができました。ログから被害者の情報を分析したところ、ある攻撃では米国内の企業のCEO、社長、創業者のみを標的にし、また別の攻撃では、米国、英国、カナダ、ハンガリー、オランダ、イスラエルなど様々な国の役員や管理職レベルが被害者となっていることが分かりました。

これら被害者のアカウントのほとんどはLinkedInで自ら自身の情報を公開していました。このことから、攻撃者はLinkedInを利用して攻撃対象の収集と選別を行っていることが推察できます。

^※トレンドマイクロセキュリティブログ：Office 365偽サイトによるフィッシングキャンペーン、日本の経営幹部も標的

管理者からのアラートに偽装したフィッシングメール
パスワードの有効期限がきれるため、メールに記載したリンクをクリックして継続利用の手続きをするよう促す。リンク先は当然フィッシングサイト

“古典的”も巧妙、改めて点検と注意喚起を

前述した被害事例では、いずれもクラウドサービスが悪用されています。高い利便性から広く企業に浸透しているクラウドサービスですが、攻撃者にとっては、利用者が多く効率よく攻撃を仕掛けられることに加え、クラウドサービスを利用すれば、独自にフィッシングページを構築することも不要となり、簡単に正規ドメインのフィッシングページを用意できるという点も利点になります。こうした事情を考えると、クラウドサービスを騙るフィッシング手口には引き続き警戒が必要です。

フィッシング攻撃で認識が必要な点
１．組織を狙うフィッシング攻撃は継続して確認されている
２．組織内で1人でも被害にあえば、その後関係者に被害が拡大する可能性がある
　　・詐取した認証情報でメールアカウントを乗っ取り、フィッシングメールを送信する連鎖が発生している可能性がある
３．認証情報詐取を起点に、ネットワークへの侵入など被害が拡大する可能性がある
　　・Microsoft 365 などのマイクロソフトのクラウドサービスの場合、Windows のログインにも使用するマイクロソフトアカウントを共通で利用しているため、クラウドサービスの認証情報詐取により、被害組織へのネットワーク侵入など、大きな被害につながる侵害が可能になる

推奨対策
・特にWindows を中心としたネットワークを使用している組織は、Microsoft 365などのクラウドサービスの認証情報が詐取されてもそれだけではアクセスできないように、二段階認証やアクセス制限など追加のセキュリティを実装してください。

・利用しているメール／ゲートウェイセキュリティソリューションや設定が、自社のメールツールや最新脅威に対応できているか確認してください。　　　
　　・クラウドかオンプレミスか、メール機能のみかメール以外の機能も搭載したグループウェアかなど、それぞれに適したセキュリティソリューションを選定してください。

・自社が加害者にならないという点では、送信ドメイン認証、DMARC（Domain-Based Message Authentication, Reporting, and Conformance）の導入を検討ください。

・改めて従業員への周知をおこなってください。
　　・会社のメールアカウントに届くものだけでなく、会社貸与の携帯のSMSに届くフィッシングにも注意が必要です。会社貸与の携帯のSMSに届いた宅配業者を装ったフィッシング攻撃により認証情報を詐取され、端末内の個人情報が流出した例もあります。
　　・SNSでの所属先情報の開示、発信は組織内個人を狙うフィッシング悪用される恐れが高いため、従業員に改めて注意喚起を行ってください。