2024年版 メールセキュリティのポイントは? ~クラウドメールのアカウント侵害防止のためにできること~
トレンドマイクロがまとめた2024年版のメールセキュリティのリサーチ結果 (2023年の不正メールの傾向分析) からは、攻撃者がより巧妙化した手法や戦術を用いて攻撃を行っている状況が明らかになっています。自組織を守り、さらに攻撃者の「踏み台」にならないようにするには、どのような対策をとればよいのでしょうか?
トレンドマイクロでは、メールセキュリティ製品「Trend Vision One -Email and Collaboration Security™」などを用いて検知・ブロックした高リスク脅威への調査をもとに、2023年に注目されたメールの脅威をまとめました。リサーチ結果のポイント、クラウドメールアカウントの侵害で起こりうることを紹介し、対処方法を解説します。
ポイント1:マルウェア検知数が大幅増加、巧妙化もみられる
2023年に、メールを感染経路として組織や企業に侵入してきた不正ファイル・マルウェアを、トレンドマイクロで検出・ブロックした件数は1,910万件にのぼりました。これは2022年の検知数から349%の増加です。増加の要因のひとつとして、フィッシングリンクがメールの本文中ではなく、メールの添付ファイル内に含まれる件数の増加が挙げられます。このことから攻撃者が、メールセキュリティ製品による検出を回避しようとして手法を変えていることがうかがえます。絶えず変化する攻撃手法や未知の脅威に対応するには、機械学習やサンドボックス解析 (ユーザが利用する領域から隔離された空間で、検査対象のプログラムやファイルを実行し、その挙動などを分析する仕組み) 機能などを備えた製品が有効です。また、多層防御で対策を強化するのもよいでしょう。
参考:
・AI技術:機械学習
・多層防御とは?仕組みやメリット、多重防御との違いなどを解説
さらに最近では、フィッシングメールを介して拡散される不正なQRコードの増加傾向も把握しています。この攻撃は「Quishing (クイッシング)」 (「QR code」と「phishing」の合成語) とも呼ばれ、受信トレイの迷惑メールフィルターを回避する狙いがあると推測できます。2023年10月25日から2024年4月22日までの間に、トレンドマイクロでは、メール本文内で15万4,945件の不正なQRコードを検知しました。
ポイント2:クレデンシャルフィッシング攻撃は微増、Computer Visionでの検知は263%増
2023年のクレデンシャルフィッシング攻撃の総検知数は670万件で、大幅な増加はみられませんでしたが、「Computer Vision※」での検知数は前年比263%の大幅な増加となりました。クレデンシャルフィッシングでは、信頼できる組織を装った不正なメールを使用し、洗練されたソーシャルエンジニアリングの手法で、受信者に緊急性を感じさせるなどして、メール本文に仕込まれたリンクをクリックさせます。すると偽のログインサイトにリダイレクトされ、認証情報などを窃取されてしまいます。
※ブランド要素、ログインフォーム、その他のサイトコンテンツをチェックしてクレデンシャルフィッシングURLを検出するために、画像分析と機械学習を組み合わせた技術。
クレデンシャルフィッシング攻撃の例として、正規のコラボレーションプラットフォーム「DRACOON」に偽装した「DRACOON.team」へのリンクを含む、ソーシャルエンジニアリングメールを使用した事象を確認しています。この攻撃キャンペーンでは、攻撃者は被害者を偽のMicrosoft 365ログインポータルに誘導し、ログイン情報を窃取していました。
Microsoft 365などのクラウドサービスの利用が進むなかで、認証情報を狙ったフィッシングメールの被害が後を絶ちません。
| 発覚/公表日時 | 業種/業界 | 被害 | 攻撃内容 | 攻撃原因 |
|---|---|---|---|---|
| 2024年1月 | サービス | 情報漏洩または踏み台 (スパムメール送信) | 不正ログイン | アカウント侵害 |
| 2024年2月 | 医療 | 情報漏洩または踏み台 (スパムメール送信) | 不正ログイン | アカウントリスト攻撃 |
| 2024年2月 | 教育 | 情報漏洩または踏み台 (スパムメール送信) | 不正ログイン | アカウント侵害 |
| 2024年4月 | 運輸・交通・インフラ | 情報漏洩または踏み台 (スパムメール送信) | 不正ログイン | アカウント侵害 |
| 2024年4月 | 卸・小売 | 情報漏洩または踏み台 (スパムメール送信) | 不正アクセス | 不明 |
| 2024年5月 | 金融 | 情報漏洩または踏み台 (スパムメール送信) | 不正ログイン | アカウント侵害 |
| 2024年5月 | 金融 | 情報漏洩または踏み台 (スパムメール送信) | 不正ログイン | アカウント侵害 |
| 2024年5月 | 金融 | 情報漏洩または踏み台 (スパムメール送信) | 不正ログイン | アカウント侵害 |
| 2024年6月 | 医療 | 情報漏洩または踏み台 (スパムメール送信) | フィッシング | アカウント侵害 |
| 2024年6月 | 出版・放送・印刷 | 情報漏洩または踏み台 (スパムメール送信) | 不正ログイン | アカウント侵害 |
表:2024年1月~6月初旬における日本国内で発生したクラウドメールサービスに関連するインシデント事例
(公表内容をもとにトレンドマイクロが独自に集計)
ご覧のように、アカウントが侵害されると、自社の情報漏洩のリスクは言うまでもなく、攻撃者に「踏み台」として利用され、他の個人や組織を侵害するリスクがあります。攻撃者は侵害されたアカウントから、フィッシングメールや、マルウェアのダウンロードサイトに誘導するURLを含むメールなどを大量に送信するため、知らないうちにサイバー犯罪の片棒を担がされることになってしまうというわけです。
参考記事:インシデント対応事例から学ぶ教訓 case5 「知らぬ間に攻撃に加担させられるかも?クラウドメールアカウント乗っ取りの被害」
対策はハードとソフトの両面で
アカウントが侵害されてしまった場合、または侵害を防ぐには、次の対策が考えられます。
・パスワードの使い回しをやめる
・類推されにくい複雑なパスワードを使用する
・認証情報の漏えいが疑われた場合、その状況を検知しすぐにパスワード変更できる体制を整える
・多要素認証 (MFA) を設定する
これらは、いわばハード面の対策ですが、上述のように受信者を心理的に揺さぶるクレデンシャルフィッシングの被害を事前に防ぐには、組織的なソフト面の対策が有効です。
・従業員に対してセキュリティ教育を実施する、フィッシング訓練を行う
・報告窓口の設置など、企業のセキュリティ担当者にエスカレーションする仕組みを作り、必要に応じてセキュリティ担当者から社内に注意喚起する
実際、フィッシング訓練を行っている企業や組織は多いでしょう。訓練の結果分析や報告では、訓練用フィッシングメールに対する従業員の「開封率」、「クリック率」、「入力率」などを測定するかもしれません。もちろんそれらの指標も、セキュリティ教育の成果計測に重要ですが、「報告率」をより重視することが、従業員のモチベーションのアップにつながります。つまり、疑わしいメールを窓口に報告するというフローを遵守した従業員の割合を公表すると、「報告して良かったのだ」、「意味があったのだ」という実感が持てるのです。報告しなかった従業員にとっても、それが望ましい行動なのだ、という意識づけにもなります。訓練において「クリックしてしまった」、「入力してしまった」ことを責めるよりも、「疑わしいメールに気づき報告することで組織の安全が保たれた」ことに焦点を当て、それを推奨する組織文化を醸成していくことも、対策強化につながります。
<関連記事>
・フィッシングの最新動向と対策ー法人組織を狙うフィッシングとは?ー
・社員のITリテラシーを高めたい ~セキュリティ教育をうまく進めるコツ~
・サイバーセキュリティに重要な組織風土の作り方
Security GO新着記事
ダークパターンとは?企業にとってのリスクを解説
(2024年11月20日)
PPAPだけじゃない?セキュリティリスクにつながりかねない商習慣3選
(2024年11月20日)
病院でランサムウェア被害が起きたらどうする?ボードゲームでシミュレーション
(2024年11月19日)
