未だ無視できない法人を狙う「フィッシング」を効果的に防ぐには？

法人組織も大いに関係あり？フィッシングの「イマドキ」

2023年9月21日、警察庁より国内のサイバー犯罪の動向をまとめたレポート「サイバー空間をめぐる脅威の情勢等」（2023年上半期）が公開されました。今回のトピックで目立っていた１つは「フィッシング」です。フィッシングは、実在する企業や送信者に詐称したメールやウェブサイトを使い、重要な個人情報を盗み出すサイバ―攻撃です。PCやスマホなど現在のインターネット端末を利用している方であればだれでも1度は、詐欺と思われるメッセージを受信したことがあるのではないでしょうか？

フィッシングについて基本的な事項の解説は以下のページを参照ください。本稿では現状の解説と法人における対策について解説していきます。
参考：フィッシング攻撃の種類
参考：フィッシングの最新動向と対策ー法人組織を狙うフィッシングとは？

当社の「2023 年上半期サイバーセキュリティレポート」では、「ランサムウェア」や「サプライチェーンリスク」と並んで「ネット詐欺」がトピックの1つに挙げられています。下記の図にある通り「コロナ禍」に入って以降、詐欺サイトへ誘導されてしまう端末は高止まりの状況が続いています。

図：国内から各種詐欺サイトに誘導された利用者の端末台数の推移と内訳
（トレンドマイクロ「2023 年上半期サイバーセキュリティレポート」）

これはコロナ禍と同時に始まった「新しい生活様式」の一環で、接触回避のためのオンラインの機会が増え、オンライン上の詐欺に遭遇する場面が増えたことがあり、2023年に入っても未だその影響が残っていると思われます。これは個人利用者だけでなく、リモートワークやオンラインでの業務遂行を推進してきた法人組織にも当てはまります。2023年に入ってからリモートワークを実施する組織は減少傾向にあるというデータもありますが^※、過去3年の間に浸透してきたオンラインでの業務遂行の慣習はなかなかすぐに変わるものではありません（実際業務する人がオフィスにいようが自宅にいようが、コロナ禍で許可された外部サービスの利用、オンラインでの情報収集や決裁を仰ぐためのプロセス・慣習などはすぐに全てを変更することは難しいでしょう。むしろ、オンラインの良いところを残しつつオフライン勤務を組み合わせたハイブリッド型の勤務体制に移行する組織が多いと考えます）。
※ NHK「テレワーク行う人ことし7月15.5％コロナ禍から半減民間調査」（2023年8月17日）

サイバー攻撃者もそれを知ってか、フィッシングメールの検知数は増加傾向にあります。以下の図は当社で2021年と2022年に全世界で検知したフィッシングメールの数です。2021年と2022年の比較でフィッシングメールの検知数は約3割増であり、攻撃者の注力ぶりが伺えます。

図：フィッシングメール検知数の推移
（トレンドマイクロ「2022年年間メール脅威レポート」より）

下記のウェビナーでは、フィッシングなどのネット詐欺に加えて、ランサムウェアといった2023年上半期のサイバーセキュリティ動向を把握することができます。ぜひご視聴ください。

2023年上半期サイバーセキュリティ動向徹底解説

最新の脅威を知るウェビナー（オンデマンド）

2023年1月～6月の国内外のサイバーセキュリティ動向をセキュリティエバンジェリストが徹底解説。ランサムウェア被害件数が2021年上半期以降最大、サプライチェーンリスクとゼロデイ攻撃の続発等についてご説明します。

2023年上半期サイバーセキュリティ動向徹底解説

最新の脅威を知るウェビナー（オンデマンド）

なぜ「フィッシング」は今でも影響力を持つのか？

フィッシング自体は冒頭で紹介した通り、他者になりすました詐欺メッセージを使って被害者から個人情報を盗み取るという手口であり、ランサムウェア攻撃などの他の手口と比較すると単純な方法ではあります。また国内おいて用いられた手口としての歴史も古く、少なくとも2004年頃には日本語のフィッシングメールが確認されたことが報告されています。
なぜ「古典」とも言える、フィッシングが今でも法人組織で影響力を持つのでしょうか？本稿では以下の3つの理由から考察していきます。

●「人の心理的な隙」という普遍的な脆弱性を狙うこと：フィッシングは「人の誤解や判断ミスを誘う」という手口が中心であることは、先ほど述べました。これは組織の中で「人」が業務に携わる限り、リスクをゼロにすることは難しいでしょう。ランサムウェア攻撃などで用いられるシステムの脆弱性を突いた攻撃の場合、視覚的に被害者側に気づかれる可能性は少ないですが、攻撃に必要な技術的スキルは必要である点（それでも昨今はアンダーグラウンド市場で支援ツール・サービスが流通していますが）などが大きな違いです。フィッシングはソーシャルエンジニアリング^※の巧妙さの巧拙はケースごとにはあるにしろ、「詐欺の内容を含むメッセージを連絡先の分かる相手に送る」ということは容易に誰でも可能と言えます。
※ソーシャルエンジニアリング：人々を巧みに操り、特定の行為をさせたり、ある情報を引き出させたりする際に用いられる心理的な手法のこと。

また、「メール」という形態は変わっていく可能性はありますが、組織外部と連絡を取らずに業務を遂行できる組織はまれであり、外部とのコンタクトの経路がある限り詐欺的な内容を含むコミュニケーションで相手から情報を窃取しようとする方法は残念ながら今後も有効でしょう（ビッシングやスミッシングなど派生の形態の手口はありますが、人の心理的な隙をつくという基本的な狙いは変わりません）。
参考：フィッシング攻撃の概要

●クラウドサービスの普及と認証情報の重要性の拡大：

昨今は、クラウドサービスの利用率も大幅に伸び、クラウドサービスを利用していない組織の方が少数派といった様相です^※。読者の方がお勤めの組織でも、事業部門からクラウドサービスの利用申請がひっきりなしに来るという方も多いのではないのでしょうか。
総務省の情報通信白書（令和5年版）では、利用しているクラウドサービスの内容は「ファイル共有・データ保管」といったオーソドックスなものだけでなく、「受注販売」や「生産管理、物流管理、店舗管理」といった事業に直結するようなものまで多くの分野でクラウドの利用が進んでいることが分かります。
※総務省の令和5年版の情報通信白書では、「全社的に利用している」、「一部の事業所又は部門で利用している」とした回答者は72%以上となっている。

利用範囲が拡大すればするほど、組織にとっては重要な（事業に関わりが深い）データが大量にクラウドに保管されます。サイバー攻撃者はデータが大量に格納されているであろうクラウドへの認証情報を狙ってフィッシングを盛んに行うということは容易に想像できます。実際の法人向けのフィッシングでも、 Office製品で利用されるMicrosoftアカウントを狙ったものは良く見られます（後述します）。
参考：トレンドマイクロセキュリティブログ（フィッシング攻撃で詐取された情報を悪用した二次被害事例を確認）

●サイバー攻撃者が利用可能なツールの販売などアンダーグラウンド市場の拡大：

2023年8月、国際刑事警察機構（インターポール）は、インドネシアや日本の捜査機関と連携し、大手企業サイトに似せたフィッシングサイトを容易に生成できる不正なキット「16shop」を用いていたサイバー犯罪者を逮捕したと発表しました（当社はこの事案について捜査協力を行っていました）^※。
参考：トレンドマイクロ、フィッシング詐欺「16shop」の捜査に協力しサイバー犯罪者の逮捕に貢献
参考：フィッシングキット16shopの分析、トレンドマイクロとインターポールのパートナーシップ

サービスとしてのフィッシング（PaaS：phishing-as-a-service）としても知られていた今回の「16shop」の場合、個人利用者を狙ってAmazonやAppleといった大手企業の偽サイトの構築を支援するものでした。しかし、法人を狙うフィッシングにおいてもOffice 365（現Microsoft 365）の偽サイトの構築を容易にする不正キットの存在も確認されています^※。詐欺メッセージを送るのは他の手口と比較して容易である点は先ほど述べましたが、アンダーグラウンド市場では、フィッシングを行う攻撃者を支援するツールが流通しており、攻撃者がより効率的に攻撃を行うための後押しをしています。
※トレンドマイクロセキュリティブログ（Office 365偽サイトによるフィッシングキャンペーン、日本の経営幹部も標的）

フィッシングに効果的に対処するには？

では、法人組織としてフィッシングに効果的に対処するにはどうすればよいでしょうか？
認証を強化するための「二要素認証（2FA）や多要素認証の導入」や、送信者のなりすましを防ぐための「DMARCの導入」、不正なメールを検知・隔離するための「メールセキュリティ製品の導入」といった技術的対策がまずあります。本稿でも言及した「普遍的な脆弱性」である「人」に脅威が到達する前に技術的な対策でリスクを下げておくことが必要です。

その上で、「人」に対する定期的なセキュリティ意識向上のためのトレーニングも重要です。フィッシングの場合、座学形式の研修や社内に向けてフィッシング事例を紹介するなども良いですが、どのようなメッセージが危険なのかを訓練を通して認識してもらうことが最も近道です。

こうした訓練の場合、2つの声をいただくことがあります。
1つは「訓練メールの題材にどのような事例を参照したらよいか」ということです。フィッシング対策協議会が公開している事例などを参考に自分で題材を作るという方法もありますが、作り込むにはそれなりに工数がかかることや「これで法人を狙うフィッシングとして、一般的にあり得るメールの水準なのか？」という点はお困りになることが多いのではないでしょうか？

もう1つは、「訓練の効果をどのように測るのか？」です。メール内のURLクリック状況や訓練用のテストページへの情報入力の状況など、ユーザ（従業員）ごとに把握して傾向を見極めるのは工数がかかります。業務上外部からの連絡を受けることが多く、フィッシングの影響を受けやすい部署などに有効な対策を打つには現状把握が重要です。

現状サイバーセキュリティの投資は、「いかに自社に適合するサイバーセキュリティプラットフォームを探すか？」というフェーズに移りつつありますが、サイバーセキュリティプラットフォームには、XDR機能のほかに、アタックサーフェスリスクマネジメント（ASRM）の1機能として、上記2点を解決するフィッシングメールの訓練ツールを搭載しているものがあります。セキュリティ部門の人材不足が叫ばれている昨今、こうしたツールを活用して、効果的に従業員向けのフィッシング訓練を行い、組織の防御力を高めることをお勧めします。
参考：サイバーセキュリティプラットフォームとは？～セキュリティ投資を抜本的に変える転換点に～
参考：フィッシングメール訓練ツールの無償提供を開始