my 楽天モバイル Office フィッシング詐欺への対策はシステムによる対応を。ゼロトラストが有効な理由を解説
フィッシング詐欺の被害は絶えません。ひとたび被害に遭えば、法人の重要な情報や資産が流出し、顧客や社会からの信用失墜に直結します。手口は巧妙化の一途をたどっており、生成AIの悪用などにより、いまや目視で本物のメッセージと区別することは極めて困難です。もはや従業員の注意や教育といった「人」の努力だけに頼ることはできません。
そこで有効なのが「ゼロトラスト」という考え方によるシステム的な防御です。この記事では最新のフィッシング詐欺の特徴や傾向を解説したうえで、なぜフィッシング詐欺の対策としてゼロトラストが有効なのか、その理由を解説します。
フィッシング詐欺とは?攻撃や起き得る被害を解説
まず、フィッシング詐欺の基本を確認しましょう。攻撃の定義、攻撃を完遂するまでのプロセス、企業がこうむる被害について解説します。
認証情報(ID・パスワード)などを窃取する攻撃
フィッシング詐欺とは、主に以下の3つの要件を満たす詐欺の手法です。
- 送信者を詐称したメッセージを送る
- リンクをクリックさせ、公式サイトを模倣した「フィッシングサイト(偽サイト)」に誘導する
- メッセージの受取人(ターゲット)に情報を入力させ、窃取する
目的は、機密情報や資産の窃取です。クレジットカード番号、セキュリティコード、ユーザーID、パスワード、住所、氏名、電話番号、生年月日など、多岐にわたる情報が狙われます。
詐欺の実行者(攻撃者)は、大企業や公的機関など権威ある組織の名称をかたったり、知人からのメッセージを装ったりと、多種多様な工夫を凝らしてターゲットを信じ込ませます。
攻撃者はどうやって情報を盗むのか?完遂までのプロセス
攻撃者がフィッシング詐欺に着手し、完遂するまでの代表的なプロセスは以下のとおりです。
- ターゲットや詐称する組織名を選定する
- 精巧な偽メッセージやフィッシングサイトを作成する
- ターゲットにメッセージを送信し、偽サイトへ誘導する
- ターゲットは正規サイトと思い込み、情報を入力する
- 攻撃者は情報を入手し、アカウントを乗っ取る
- データや金銭の窃取、不正注文、さらなるスパム送信などを行う
多くのプロセスは、攻撃者側で行われています。ターゲットとされた企業ユーザーは、「正規のサイトを利用している」と思い込んだままで被害に遭う点に注意が必要です。
フィッシング詐欺で企業がこうむる具体的な被害
法人がフィッシング詐欺に遭った場合、以下のような甚大な被害をこうむるおそれがあります。
- 会社の預金などの財産を失う
- 従業員や顧客の情報、機密情報が外部に流出する
- ECサイトで意図せぬ商品を購入され、法人カードに課金される
- クラウドサービスのパスワードを変更され、業務システムにログインできなくなる
- 自社のアカウントが乗っ取られ、不審な電子メールの大量送信元にされる(加害者になる)
- マルウェアなど、不正なプログラムをインストールされる
いずれも、事業継続に大きな支障をきたす項目です。事業を円滑に運営するためにも、フィッシング詐欺に騙されないことが重要です。
なぜ「わかっていても」騙されるのか?フィッシング詐欺の手口を解説
多くの人はフィッシング詐欺の存在を知り、被害に遭わないよう注意を払っています。しかし、それでも被害はなくなりません。
なぜ人は騙されてしまうのか、その背景にある最新の手口を4つ解説します。
見た目が本物そっくりのWebサイト(リバースプロキシ型など)
近年では見た目が有名企業や官公庁そっくりのWebサイト(偽サイト)も作成され、フィッシング詐欺に悪用されています。
法人のロゴやデザインだけで本物と見分けることは困難です。たとえ二要素認証が設定済みでも、攻撃者が偽サイトに入力された文字列を正規のWebサイトに入力する要員を配置しているリバースプロキシ型フィッシング(リアルタイム・フィッシング)では、攻撃者が正規の手順で認証でき、法人の大切な情報や資産を窃取できるためです。
- 攻撃者は偽サイトを用意し、メッセージを送ってターゲットに入力を促す
- ターゲットが偽サイトにID・パスワードなどの必要事項を入力する
- 攻撃者がそれを即座に正規のWebサイトに入力
- 攻撃者は、偽のワンタイムパスワード(OTP)の入力画面をターゲットに表示する
- 正規のWebサイトはターゲットに対して、OTPを送付する
- ターゲットが偽の入力画面に、OTPを入力する
- 攻撃者はそのOTPを使って正規のWebサイトへログイン完了
この手法を使われると、従来の「二要素認証(多要素認証)」であっても突破されてしまうため、非常に危険です。
怪しさを感じさせない自然な文章(AIの悪用)
フィッシング詐欺が登場した当初は不自然な文章が目立ったものの、AIの進化により極めて自然な文章が作られるようになりました。「文章の怪しさ」で見分けることはもはや不可能です。
メッセージを送る手段はEメールが代表的ですが、SMSやSNSも使われています。電話による連絡も、本物ばかりとは限りません。電話と音声を用いる「ボイスフィッシング(ビッシング:Vishing/ Voice Phishing)」も登場しており、「メールで事前情報を送り、電話で巧みに誘導して認証に必要な情報を聞き出す」といった複合的な手口も用いられています。
取引先からのメッセージを装う(サプライチェーン攻撃)
フィッシング詐欺の発信元は、怪しいメールアドレスやアカウントばかりとは限りません。ときには、取引先が発信元になる場合もあります。取引先のメールアドレスやアカウントが攻撃者に乗っ取られ、そこから正規の署名付きでフィッシングメールが送られてくるケースがあります。発信元が取引先であるがゆえに内容を疑いにくく、十分なチェックも行わずにリンクをクリックしてしまい、被害に遭いやすくなっています。
QRコードを用いた「クイッシング」
QRコードはWebサイトへのアクセスを手軽に行える手段ですが、フィッシングの手段としても悪用されています。偽のQRコードをターゲットに提示して読み込ませ、偽サイトにアクセスさせる方法です。この手段は「クイッシング(QR phishing)」と呼ばれています。
スマートフォンでQRコードを読み取る際、アクセスするまで誘導先のURLを目視確認しにくく、セキュリティソフトの検知もすり抜けやすいという特徴があります。店頭のポスターやチラシに掲示されているQRコードに、偽のQRコードが貼りつけられる物理的な手口にも注意が必要です。
なぜ「従業員教育」だけではフィッシング詐欺を防げないのか
ここまで解説したとおり、フィッシング詐欺は「従業員が注意していても」発生します。従業員教育や従業員の意識づけだけ頼る防御には限界があります。その理由を3つの観点に分けて、解説します。
フィッシング詐欺の本質は「暗黙の信頼」の悪用
フィッシング詐欺の本質は不注意ではなく、ターゲットとされた人が持つ「暗黙の信頼」の悪用と考えることが重要です。「上司からのメールだから」「いつも使っているクラウドサービスだから」という信頼がある限り、巧妙な偽装を見破ることは困難です。相手が社内や頻度高くやり取りする法人の場合でも、必要なチェックを省くとフィッシング詐欺の被害に遭うおそれがあります。
生成AIの進化により「本物・偽物」の区別が困難に
生成AIの進化により、利用者は以下のコンテンツを手軽に作成できるようになりました。
- 自然な文脈による文章(日本語も含む)
- 人間が話しているように淀みなく話す声
- 現実にあったかのような映像や動画
フィッシング詐欺に使う目的で、多くの人が本物と誤認するコンテンツも作成できます。人間が感覚的に「本物か偽物か」を判別しにくい時代を迎えています。従業員教育によってフィッシング詐欺を見破ることは一定程度可能なものの、本物そっくりに作成されたコンテンツの区別は困難です。
ヒューマンエラーを前提とした仕組みが必要
そもそも人間はどれだけ注意を払っても、ミスを起こすことは避けられません。加えてフィッシング詐欺では、ターゲットを焦らせて誤操作を誘う「ダークパターン」のUIが使われることもあります。
「人は間違えるもの」という前提に立ち、万が一従業員が偽サイトにアクセスしたり情報を入力したりしても、システム側で被害を食い止める仕組みによる防御が必要です。
フィッシング詐欺の対策に「ゼロトラスト」が適している6つの理由
フィッシング詐欺に適切な対応を行うためには、アクセスごとに毎回厳密な認証・検証を行う「ゼロトラスト(何も信用しない)」の考え方が対策として有効です。具体的な6つの理由を解説します。
組織の内部・外部ともに検証する
ゼロトラストは「社内ネットワークだから安全」という境界型防御の考えを捨てて、すべての通信を検証します。内部でのふるまいも、監視対象となるため、もし従業員の端末が乗っ取られて不正な動きをした場合でも、通信をブロックして被害を防ぎます。
多要素認証とコンテキスト分析で不正侵入を防ぐ
多要素認証は、以下のなかから複数の要素を活用して認証する方法です。
- 知識要素(ID、パスワード、暗証番号、秘密の質問など)
- 所持要素(スマートフォンの認証アプリ、ICカード、ハードウェアトークンなど)
- 生体要素(指紋、顔、静脈、声紋など)
認証に複数の要素を用いる「多要素認証(MFA)」を徹底することで、本人以外が不正にアクセスするリスクを下げられます。さらにゼロトラストでは、認証だけでなく「普段と違う場所からのアクセスか」といったコンテキスト(文脈)も検証するため、万が一IDやパスワードが攻撃者の手に渡っても、不正ログインを阻止できる可能性が高まります。
メール送信元の信頼性をチェックする
ゼロトラストの考え方に基づく電子メールのシステムでは、メール送信元の信頼性をチェックすることも可能です。ドメインキー識別メール(DKIM)では送信されたメールに電子的な署名がされているため、送信者から発信したメールか否か公開鍵を用いて検証できます。
DKIMを用いることでしかるべき送信者が間違いなく発信したメールであることを技術的に確認できるため、従業員がフィッシングメールを目にする機会そのものを減らします。
セキュリティ基準をクリアした端末のみアクセスを許可する
ゼロトラストでは「必要なパッチが適用されているか」「セキュリティ対策ソフトが稼働しているか」など、自社で定めたセキュリティ基準(ポスチャー)をクリアした端末のみ、社内ネットワークや情報資産へのアクセスできるように制御します。脆弱性のある端末を排除することで、「認証情報が奪われる」「データが社外に流出する」などの好ましくない事態を防げます。
通常と異なる振る舞いを検知・対応(EDR/NDR)
ゼロトラストでは、社内のネットワークや社外とのやり取りを問わず、常に振る舞いを監視しています。「深夜に大量のデータをダウンロードしている」「普段使わない海外のサーバーと通信している」といった異常を速やかに検知し、適切な対応を行って被害の拡大を防ぎます。以下の項目は、異常な振る舞いを認めた際に行われる対応の一例です。
- 管理者にアラートやメッセージを通知
- 追加認証(再認証)を要求
- 悪意ある攻撃に関係するプログラムを強制的に終了
- 情報資産やクラウドへのアクセスを遮断
最小権限の原則で被害を最小限に
ゼロトラストでは、権限をアプリケーションやユーザー単位で動的に与えます。またアクセスできる範囲も絞ることが可能です。
「必要なときに、必要な分だけ権限を与える」ことが可能ですから、あらかじめ余分な権限を与えておく必要はありません。権限やアクセスできる範囲を必要最小限に絞ることで、情報流出などの事態が発生しても被害の拡大を防げます。
フィッシング詐欺の対策には「ゼロトラストセキュリティ」の活用を
フィッシング詐欺の対策には、楽天モバイル「ゼロトラストセキュリティ」をおすすめします。「ゼロトラストセキュリティ」はCloudflare, Inc. との協業により提供する製品で、フィッシング詐欺を仕組みで防ぐ機能を提供します。
- 悪意あるメールを自動的にブロックする
- ユーザーやデバイスからのアクセスを許可する前に、認証や検証を行う
- 最小権限アクセスポリシーの適用により、攻撃を受けた場合でも被害を限局化できる
- ネットワークやシステムの動作、Webへのアクセスを常に監視。異常な挙動や不正アクセスを早期に検知し対応する
- 在宅勤務など、社外で働く従業員にも安全なネットワーク環境を提供する
上記の機能を活用することで、フィッシング詐欺のリスクを下げることが可能です。
フィッシング詐欺はシステムの活用で対策を
いまやフィッシング詐欺は、知識や注意レベルを上げるなど、人の努力に頼る方法のみでは対処できません。被害を最小化するためにも、システムの導入が必要です。特にゼロトラストに基づくシステムは、セキュリティのレベルを高めるうえで役立ちます。
楽天モバイルでは、フィッシング詐欺への対応にも活用できる「ゼロトラストセキュリティ」を提供しています。人間の注意力を補い、セキュリティレベルを高める施策としてご活用ください。
ゼロトラストで安心・安全なセキュリティ環境へ
楽天モバイルでは、ワンストップで快適で安全なネットアクセスを実現し、セキュリティ関連業務の一元管理によって企業のセキュリティレベルを向上させるとともに、大幅なコスト削減にも繋がる「ゼロトラストセキュリティ」の導入をサポートします。
