年々増加の一途をたどるフィッシング被害。個人だけでなく企業も狙われていることをご存じですか?今回は、「フィッシング詐欺ハンター」としてさまざまな媒体で啓発活動を行う阿部 巧 (にゃん☆たく)氏に、フィッシングの実情や有効な対策について伺いました。
阿部 巧(にゃん☆たく) 氏
2015年に大手SIerに入社し、脆弱性診断やSOCアナリストを担当。2019年から通信キャリアでSOC / CSIRT業務に従事し、2020年から2022年まで内閣サイバーセキュリティセンター(NISC)にて政策調査員を兼務。現在は金融業界で脅威情報リサーチャーを担当。X(旧Twitter)を中心に『にゃん☆たく(@taku888infinity)』という名前でサイバーセキュリティの情報発信や収集を行いつつ、フィッシング詐欺対策についての啓発活動(講演 / メディア対応)にも尽力している。
ターゲットは個人だけじゃない!? 業務で利用するサービスを騙ったフィッシングが発生中
フィッシングとは、実在の企業や団体を騙ってメールやショートメッセージを送りつけ、偽のWebサイトに誘導して情報を盗み出す手口のことです。金融機関や宅配業者になりすます事例が多いため「個人」への攻撃をイメージする方が多いかもしれませんが、2023年4月には「法人」向けサービスを狙ったフィッシングが報じられ、その巧妙な手口が話題となりました。
この事例では、攻撃者が名刺管理サービスのサポートを装って被害企業に電話をかけ、「御社から作業依頼を受けている」などと説明。従業員を信用させた後にフィッシングメールを送りつけて、偽のログインページに誘導しました。そこでIDやパスワードなどの認証情報を窃取し、名刺管理サービスに不正アクセスしたとみられています図1。
マルウェア等を用いずに認証情報などを盗み出すこうした手法は「ソーシャルエンジニアリング」と呼ばれ、中でもフィッシングはメジャーな手口の一つです。システムの不具合・脆弱性ではなく人間の心理や行動の隙を突く攻撃であることから、物理的な対策が難しく、被害を避けるには利用者のセキュリティリテラシー向上が重要だといわれています。
また、電話やメールを利用した手口が多いため、ターゲットになる確率が高いのは外部とやりとりをする機会が多い営業職や経営層です。
以降は、“フィッシング詐欺ハンター”として活動する「にゃん☆たく」こと阿部巧氏に、 情報システム部門以外、特に営業職の方に知っていただきたいフィッシングの特徴や対策をお伺いします。
フィッシング被害は年々増加中
手口も巧妙で見抜くのは困難
手口も
“フィッシング詐欺ハンター”としての活動についてお聞かせください。
普段は主にX(旧Twitter)やブログ等のSNSを通じて、フィッシングを含むサイバー攻撃についての情報発信や注意喚起などの啓発をしています。
もともとは2018年ごろから、マルウェアが添付されたメールが送られてくる「ばらまき型メール」の調査を個人で行っていたんです。ちょうどその時期に宅配業者を騙るフィッシングが急増していたことから、「もっと消費者に身近な脅威の注意喚起をしていきたい」と感じて、フィッシングに関する情報を集めるように。
当時はフィッシングに関する情報を専門的に扱うメディアが少なかったので、被害に遭った方がインターネットで解決策や対処法を調べたとき目に留まるよう、SNSでの情報発信を始めました。現在もその活動を続けつつ、講演やメディア出演を通じてより多くの方に注意を呼びかけています。
近年のフィッシングにはどんな傾向や特徴がありますか?
フィッシング被害の報告数は年々増加しています図2。さらに、メールの内容がよりリアルに、そして精巧に変化しているのも特徴です。フィッシングと聞くと「怪しいメール」が届くことをイメージする方が多いかもしれませんが、近年のフィッシングメールは企業から届く実際のメールとほぼ見分けがつきません。メールを見ただけで「怪しい」かどうかを判断するのは、もはや難しいといえるでしょう。
参考:「フィッシングレポート2023」(フィッシング対策協議会)より
https://www.antiphishing.jp/report/phishing_report_2023.pdf
また、業務で使用するソフトウェアなどの関係企業になりすます事例も発生しています。2023年4月に報じられた名刺管理サービス図1の事例のほか、勤怠アプリケーションの運営やサポートになりすますケースも。フィッシングは個人だけでなく企業も標的にされていると考えて対策をしていくべき攻撃です。なお、スマートフォンのSMSを利用したフィッシングも多いため、外出や出張でスマートフォンを使う頻度が高い営業職の方は特に注意してください。
フィッシング被害を避けるためにどんな対策が有効でしょうか?
フィッシングの特徴は、システムではなく人に働きかける手法を用いることです。そのため、ほかのサイバー攻撃に比べて“人の対策”が重要だといわれています。中には、いつもやりとりしている取引先やお客様先の実際のアドレスを入手して攻撃に利用する「ビジネスメール詐欺」の手法を用いるケースもあり、これをメーラーのセキュリティシステムではじくことは難しいです。
だからこそ、例えば「取引先から心当たりのないメールが届いたら、まず電話で確認してみる」といった習慣を心掛けるだけでも、被害を防げる可能性が高まります。アナログな方法に思えますが、メールやメッセージ以外の連絡手段を持っておくことは対策として効果的です。
フィッシングに限らず、サイバー攻撃は時期や時間帯を予想できない自然災害のような脅威だと考えています。いざというときに備えて事前に対策しておくことが肝要です。
特に企業が意識するべきフィッシング対策のポイントはありますか?
企業のフィッシング対策に必要な視点は2つあります。まず1つ目は、「自社を騙るフィッシング」への対応です。自社や関係者を名乗って情報を聞き出そうとする攻撃がないか情報収集を行い、もし見つかったらできる限り迅速に周知していく必要があります。
もう1つは「自社の従業員がフィッシングのターゲットになる」ことを想定した対策です。とりわけ有効なのは、メール訓練などを定期的に実施してフィッシング被害に遭ったときのフローを固めておくこと。フィッシングメールを受け取ったらまずどこに報告すべきか、その後どのように調査をするかなど、ルールの周知を徹底しておきましょう。
この2つの視点を持ち合わせた対策が、フィッシングの脅威から企業が持つ情報を守ることにつながります。特に従業員教育などの対策は、システムで対応するセキュリティ強化に比べて、効果を実感するまでに時間がかかるのが一般的です。普段から継続して取り組んでおくことをお勧めします。
セキュリティを考慮したツール選定で
売り上げを“落とさない”ことが重要
売り上げを
企業がフィッシング被害に遭った場合、どのようなリスクがあると考えられますか?
企業が最も懸念すべきリスクは、不正アクセスによる情報流出です。業務で利用するサービスのIDやパスワードをフィッシングサイトに入力してしまった場合、それを攻撃者に使用され、業務上の機密情報を盗まれる可能性があります。
例えば顧客管理サービスや名刺管理サービスなら、登録している顧客情報を悪用される恐れも。盗まれた情報は「名簿としてまとめて販売する」「次の攻撃のターゲットに使う」といった用途に利用されると考えられます。
このような事態に発展すれば、自社の顧客や取引先を危険にさらしてしまうため、信頼の失墜や取引停止による売り上げ減少は避けられません。その被害や影響の大きさを考慮すると、営業職の皆さまが対策に取り組む必要性をご理解いただけるのではないでしょうか。自社の売り上げを“落とさない”ために、今すぐ対策することをお勧めします。
リスク低減のために何に気をつければいいでしょうか?
当然ながら、攻撃者に狙われる情報を保存しているサービスやソフトウェアのセキュリティを万全にしておくことが重要です。今や多くの業務でこうしたシステムの利用は避けられませんから、導入する製品を選ぶ際にはセキュリティを重視する姿勢を持つことが大切だといえます。
中でも認証システムのセキュリティは確認すべきポイントの一つです。例えば、「SKYPCE」には2要素認証の機能がありますよね。これを設定しておけば、スマートフォンに表示されるワンタイムパスワードの入力をログイン時に求められるので、攻撃者がログインを試みた際に気づきやすくなります※。
また、「SKYSEA Client View」から操作ログが確認できたり、連携により画面キャプチャーを制限できたりする点も効果的です。セキュリティ製品と連携できれば安全性の大幅な向上が見込めるので、製品を選定する際には注目してみてください。
※PCからログインする場合
Q フィッシングメールを見抜くポイントは?
A:ありません!以前は文面に違和感のあるフィッシングメールも多かったのですが、現在は本物とほとんど見分けがつきません。メールに記載されたURLはクリックせず、お気に入りに入れた公式Webサイトからログインするなど、見抜けないことを前提に対策していきましょう。
Q フィッシングに引っかからないために気をつけていることは?
A:集中力が切れたタイミングでメールチェックをしないこと。ここまでお伝えしてきたとおり、最近のフィッシングメールは巧妙です。早朝や残業中などの時間帯にまとめてメールチェックをすると、判断力が鈍ってフィッシングに引っかかりやすくなるため、避けることをお勧めします。
Q 企業で実践できるお勧めのフィッシング対策トレーニングは?
A:模擬フィッシングメールを従業員に送り、その開封率などを調べる「メール訓練」が一般的です。ここで重要なのは、実際にフィッシングメールが届いたり、URLを踏んでしまったりしたときの対応フローを確認すること。単に開封率が低ければ良いというわけではないんです。
Q フィッシング対策をする上で経営層が意識すべきことは?
A:メール訓練の際に「模擬フィッシングメールのURLをクリックしてしまった」という報告に対して怒らないでください!訓練の目的はフィッシング被害の拡大や再発を防止することです。むしろそうした報告には感謝を示して、従業員が気負わず報告できる環境をつくりましょう。
Q メール対応以外で気をつけるべきことは?
A:パスワードは使い回しを避け、類推されにくいものを設定しましょう。また、2要素認証に対応しているサービスであれば必ず設定しておくのがお勧め。手間に感じるかもしれませんが、情報流出のリスクを低減できると理解していれば、無駄ではないと思えるはずです。
Q 流行の生成AI、フィッシングへの影響は?
A:ChatGPTなどの生成AIサービスでは、詐欺やサイバー攻撃をサポートする依頼は規定違反になるよう設定されているんです。とはいえ、違和感のない文章を作るために利用することは可能でしょうから、今後ますます攻撃を防ぐのが困難になるのではないかと危惧しています。
読者の皆さまへのメッセージ
企業を狙うフィッシングの脅威、おわかりいただけたでしょうか?ほとんどの仕事は一人では完結できませんから、自社だけでなく関係者を守るためにもフィッシング対策は不可欠です。今一度、自社で利用しているデジタルツールのセキュリティや自身のリテラシーについて確認してみてください。
(「SKYPCE NEWS vol.8」 2023年9月掲載 / 2023年7月取材)