データ侵害の大半はソーシャルエンジニアリング攻撃から始まっている
サイバーセキュリティ動向:日本企業が攻撃の標的となり、深刻な被害が相次いでいる
サイバー攻撃の被害は、もはや対岸の火事ではない
ウクライナ情勢悪化から始まった世界のビジネス環境における様々な領域で大きな影響は増幅し、日本企業に波及し始めている。各報道機関でも報道されているように、その1つとして、サイバー攻撃がある。ここに来て、サイバー攻撃はロシア系サイバー攻撃集団だけではなく、アジア隣国からのサイバー攻撃が顕著に増加している。サイバー空間の中では日本もすでにデジタル戦争に巻き込まれているといっても過言ではない。経済産業省は去る2月23日に「昨今の情勢を踏まえ、サイバー攻撃事案の潜在的なリスクが我が国においても高まっていると考えられるため、企業の経営者等に対し、サイバーセキュリティの取組の一層の強化を促すこととしました。」とサイバー攻撃への警戒を一層高めるように注意喚起を呼びかけている。この中、攻撃元は不明だが、実際に日本企業が攻撃の標的となり深刻な被害を受けるケースが相次いでいる。民間の調査会社である「帝国データバンク」が3月11日から14日にかけて国内1547社を対象に実施したアンケート調査によると、「1か月以内にサイバー攻撃を受けた」と回答した企業が28.4%に達している。(出典:https://www.tdb.co.jp/report/watching/press/p220306.html )
KnowBe4は、3月8日に「サイバーリスクに関する提言」をまとめたストーリーを発信しているが、今回のストーリーは、待ったなしの緊急課題となっているサイバー攻撃対策にさらに踏み込んで解説していく。
データ侵害の大半はソーシャルエンジニアリング攻撃から始まっている
ソーシャルエンジニアリング(Social Engineering)とは何か。原点に戻って考えてみたい。本来、ソーシャルエンジニアリングは、直訳すれば社会工学であるが、サイバー攻撃者が使うソーシャルエンジニアリングはこれとは異なり、人間の心理的な隙や行動のミスにつけ込んで個人が持つ秘密情報を入手する方法を指す。サイバー攻撃者やハッカーたちは、このようなバスワード(隠語)をよく使う。うソーシャルエンジニアリングもその1つであるが、例えば、Exploit(エクスプロイト)も同様である。Exploitは、本来の英語の意味は偉業や功業であるが、サイバー攻撃者やハッカーたちは、コンピューターシステムの脆弱性を利用して標的を攻略すること、またはその攻撃という意味で使っている。つまり、ソーシャルエンジニアリングは、ハッカーたちが巧みに仕掛ける不正工作である。
ここで、ソーシャルエンジニアリングについて、改めて、KnowB4のトレーニングコンテンツの一部を引用して、その定義と攻撃者の狙いを確認する。
ソーシャルエンジニアリングの定義: あなたのミスを誘い、あなたを操り、騙すことで、あなたやあなたが所属する組織に忍び寄ってくる攻撃手法
ソーシャルエンジニアリング攻撃者の狙い: あなたを信用させ、その後に関係を巧みに利用してあなたを操り、あなた自身や組織の機密情報を漏洩させること、あるいはネットワークへのアクセス権を入手すること
<ソーシャルエンジニアリング手口は日々進化している>
ソーシャルエンジニアリングの手口には、様々なものがあります。また、ハッカーたちは日々新しい手口を開発している。例えば、空港の待合室やカフェなどの公共の場でスマホやタブレットの充電ができるところが増えているが、このUSBポートにマルウェアを仕込む攻撃が発生している。接続しただけで、ウイルスに感染するが、多くの場合、感染したことに気付かないことが多い。そのほか、新種の手口としては、QRコードの悪用がある。QRコードを自分で作成し、バーチャルな名刺や割引コード、動画へのリンクなど、さまざまな用途に利用する人が増えているが、サイバー犯罪者がQRコードを悪用している。最近の米国での事例では、パーキングメーターに貼られた偽のQRコードに誘導され、ドライバーはコードをスキャンし、駐車料金を支払っているつもりでカード情報を入力し、実際には犯罪者にカード情報を渡していた、というものがある。
このようなソーシャルエンジニアリングの最新知識を得るためには、脅威の現状を常に目を見張り、調査・研究することが必要になる。KnowBe4では、このためにKevin Mitnick、Perry Capenter、Kai Roer、Roger Grimesなどの数多くの研究者やサイバーセキュリティエキスパートが活動している。
<基本的なソーシャルエンジニアリング攻撃>
ここでは、まずは代表的な手口を学び、基本的なソーシャルエンジニアリングの脅威が何かを確認した上で、サイバー攻撃の進化にいかに追随していくかを解説していきたい。
基本的なソーシャルエンジニアリング攻撃1 –デジタル攻撃 フィッシング(Phishing)
ハッカーたちが最も頻繁につかる代表的な手口は、フィッシングである。イメージしていただきたいのは、魚釣りである。サイバー攻撃者は、多くの場合、投網を打ちように、不特定多数に対して、フィッシングメールをバラマキ。引っかかってくる標的を待ち受ける。最も初歩的な手口です。このようなバラマキ型のフィッシングメールの成功率は極めて低いが、攻撃者にとって見れば、極めて低コストで実行できる手口である。そのためか。フィッシング攻撃について尋ねれば、多くの人はこう答えるのではいでしょうか。「理解しています。私は大丈夫です」と。これは、日本で一般に広まっているオレオレ詐欺に共通するものがある。
では、このようなバラマキ型のフィッシングメールになぜ引っかかるのかは、これは偶然の賜物である。例えば、宅配サービスを利用していて、配送を待っているときに、その宅配サービス業者を名乗る発信者からフィッシングメールを来たら、どうでしょうか。ふとメールを開いて、悪意あるリンクをクリックしてしまうのではないでしょうか。サイバー攻撃者は、このような偶然性を狙っているのである。自分が利用している銀行やカード会社からのフィッシングメールだったら、どうでしょうか。この攻撃でハッカーたちが狙っているのは万に一つのヒット率なのである。
ここで、少しハッカーたちの視点を考えてみたい。彼らはなぜサイバー攻撃を仕掛けるのでしょうか。ハッカーの大半の答えは、「金儲け」。サイバー攻撃は闇のビジネスなのである。その市場規模は、今や麻薬・覚せい剤市場を超えると言われている。
ハッカーや国際テロ組織がビジネスとして仕掛けるフィッシング詐偽の進化系が、スペアフィッシング(魚付き)である。バラマキではなく、標的を定めて特定の個人や組織を狙う標的型のフィッシングメール攻撃である。この手口では、攻撃者はソーシャルメディアやその他のオープンソース情報を用いて標的の事前調査に時間をかけて実施する。Facebook、LinkedIn、や企業のWebページは、サイバー攻撃者にとっての宝の宝庫なのある。この事前調査で、サイバー攻撃者は見破ることが困難な本物そっくりのフィッシングメールを作成することができる。例えば、あなたがたまの海外出張の待合時間で撮影した待合ロビーの写真をFacebookにアップしたとすると、ハッカーはこれから航空会社を特定して、この航空会社からの特典プレゼントのフィッシングメールをあなたに発信してくるのである。これが、スペアフィッシング(魚付き)である。また、スペアフィッシングには、大物を狙うホエーリング(捕鯨)、CEOや経営幹部、取引先やパートナー企業を装い、なりすましメールを送って、従業員をだまして送金させるCEO詐欺/ビジネスメール詐欺など、さまざまの呼称で呼ばれる攻撃がある。
基本的なソーシャルエンジニアリング攻撃2 –電話攻撃
ハッカーたちが良く使うソーシャルエンジニアリング攻撃として、電話による攻撃がある。この攻撃は、フィッシングや内部侵入などの他のソーシャルエンジニアリング攻撃と組み合わせて使用される。呼び方として、ボイスフィッシングを略して「ビッシング」とも呼ばれる。また、これは、日本では「オレオレ詐欺」を称されるものもこれに該当する。この電話攻撃では、電話を使ってフィッシングと同様に攻撃者は標的を騙して、機密情報を聞き出そうとする。例えば、銀行のカスタマーサポート担当者を装ったメッセージをあらかじめ録音して、電話口で再生して、あなたの口座に問題が発生したと告げ、解決するために、偽のカスタマーサポートの電話番号にコールバックするよう指示する。誤って電話すると、個人を特定する情報が必要だと言い、生年月日などの個人情報を聞き出した上で、クレジットカード番号/パスワードなどの機密情報を要求する。それらの情報を伝えたら、ハッカーたちは、思うままに、あなたになりすまして銀行口座にアクセスし、現金を引き出すことができる。
この攻撃の応用系として、例えば、新入社員を標的にして、電話とフィッシングメールを組み合わせで、トロイの木馬といったマルウェアに感染させる手口がある。人事部の担当を装い、この新入社員へ電話を掛けます。このように伝えます。「マイナンバー情報」が未提出で、給与の自動振り込みの手続きができません」と。ここで、メールアドレスを確認して、そこへマルウェアを仕込んだ添付ファイルを付けてメールを送信する。ここで、電話でメールが届いたことを確認させて、添付ファイルを開くことを促す。開こうとすると、添付を有効化するようなメッセージが出るが、新入社員がそのまま有効化すれば、マルウェアに感染することになる。たとえ有効化を疑った場合では、巧みに上司と名乗る共犯者を電話で入れて、もっともらしい説明をして、クリックさせる。「オレオレ詐欺」の手口と類似しているが、極めて有効で、まだ会社に慣れていない新入社員の大半は誤ってマルウェアを有効化してしまう。
基本的なソーシャルエンジニアリング攻撃3 –内部侵入(インサイダー)
その古典的な内部侵入手口として、共連れ侵入がある。例えば、攻撃者は会社の屋外喫煙所へ潜り込み、社員の喫煙者のふりをして会話に参加する。そして、あたかも社員であるかのような顔をして、話し相手の社員と一緒に社内に潜入する。内部侵入できれば、あとは簡単。ハッキングできそうなワークステーションを探してネットワークに侵入するのである。
そのほか、清掃員や回収業者を装い、裏口が侵入する方法もあります。また、ごみ箱も、サイバー攻撃者にとっては内部情報の宝庫で、内線電話・メールアドレス帳などが、シュレッダーされずに捨てられていることが良くある。
<進化するソーシャルエンジニアリング攻撃に立ち向かう>
「サイバー犯罪者が狙っているのは、テクノロジーの脆弱性に加えて、ヒューマンエラーであることを理解する」ことは、進化するソーシャルエンジニアリング攻撃に立ち向かうためには、極めて重要である。
- セキュリティ対策の現状 -人的防御が後回しにされている
ここで、セキュリティ対策の現状を考察してみたい。KnowB4のCEOであるStu Sjouwerman(ストゥ・シャワーマン)は、同氏の4月7日付けのブログ「”Human Error” Ranked as the Top Cybersecurity Threat While Budgets Remain Misaligned(サイバーセキュリティの脅威のトップは”ヒューマンエラー”である一方で、予算配分は旧態依然のままである)」https://blog.knowbe4.com/human-error-ranked-top-cybersecurity-threatで、最新の米Thales(タレス)社2022年度版データ脅威レポート「Thales’ 2022 Data Threat Report」https://cpl.thalesgroup.com/data-threat-report を引用して、現状の問題点を指摘している。このレポートによると、ヒューマンエラーは組織のセキュリティにとって最も高い脅威とみており、38%の組織がトップの脅威として考えている。この反面、予算配分ではネットワーク・セキュリティ(侵入防止ソリューション、ゲートウェイ、ファイアウォールなど)、アクセス管理/キー管理、クラウドセキュリティ、ゼロトラスト・ソリューションを優先していると思われる。ストゥは次のようにこの現状について「答えが目の前にあるにもかかわらず、その問題に対処することなく、ヒューマンエラーへの人的防御が後回しにされていることにともどかしさを感じる」とコメントしている。
- 「人」による防御を主体に考える発想の転換 - 「人」を狙う攻撃は「人」で防御しなければならない
サイバーセキュリティの米国企業リーダーは、サイバー防御チェーンの中で「人」が最も脆弱なリンクであると認識している。サイバー攻撃者が仕掛ける罠は、ますます巧妙化している。ケビン・ミトニックは、「多額な費用をかけてテクノロジーやサービスを購入しているが、ネットワークインフラは依然として昔ながらの巧妙な手口には脆弱のままである」と、テクノロジー主体のセキュリティ対策の問題点を指摘している。これまで、アンチウイルス、アンチマルウェア、侵入検知/防御、次世代ファイアウォール、メールセキュリティゲートウェイ、多要素認証、エンドポイントセキュリティといった多くのテクノロジーソリューションに多額な投資を続けていている。しかし、「人」を狙う巧妙化
する攻撃は、このようなテクノロジーソリューションをすり抜けている。巧みに「人」を狙うサイバー攻撃に対抗するためには、これまでのテクノロジー主体のセキュリティ対策から「人」による防御を主体に考える発想の転換が必要になってきている。
次に、KnowB4のトレーニングコンテンツ「ヒューマンファイアウォールになる」を引用して、ヒューマンファイアウォールとその5つの行動指針を紹介したい。
Human Firewall(ヒューマンファイアウォール)とは
ヒューマンファイアウォールという概念は、セキュリティのテクノロジーの側面ではなく、「人的要素」にフォーカスしているKnowBe4によって考案された。では、「ヒューマンファイアウォールになる」とは、どういうことであろうか。「人」を狙う脅威はあなたの回りのどこにでも存在し、それは常に変化している。一刻の油断も許されないのである。あなたに求められていることは、一般常識とビジネス常識を使って、的確な状況判断を下すことである。このコースでは、あなたを「ヒューマンファイアウォール」への道へと導くためにあなたが取るべき5つの行動指針を示している。
- 行動指針1:クリックする前によく考える
クリックする前に考えることが、なぜ大切なのか?これこそが、フィッシング攻撃を止めるためのキーポイントであり、あなたがヒューマンファイアウォールとして行う最も重要な行動指針の1つである。
- 行動指針2:的確に状況を判断する
机の上に資料が置きっ放しになっていたら、どのように行動するか? ヒューマンファイアウォールとして行うべきことは、機密書類はロック付きのキャビネットにしまい、不要な資料はシュレッダーにかけて処分することを習慣付けることである。オフィス外で作業するときは、自分の持ち物から目を離さない、誰かにショルダーサーフィンされていないか常に警戒する。また、公共の場では、機密情報にアクセスしたり、それについて話し合ったりしない。的確に状況を判断して、行動することを身に着けることは、ヒューマンファイアウォールとしての基本である。
- 行動指針3:各自に許されたアクセス権限を理解する
各自の職務を遂行する上で与えられたアクセス権限を理解し、それを保護し、他者と共有しないことは、ヒューマンファイアウォールとしての責任である。状況を的確に判断することによって、このようなことが起こることを防ぐことができる。席を離れるときは、PCをロックする。また、すべてのデバイスは強力な一意のパスワードで保護する。各自に許されたアクセス権限を守るための基本である。当たり前のように聞こえるかもしれないが、ここがセキュリティ脅威になるか否かの分かれ道である。
- 行動指針4:疑わしきは直ちに報告する
報告は極めて大切です。報告されなければ、誰も知る術がない。次の観点から考えてみてください。セキュリティインシデントが1分以内に報告されたならば、被害の可能性はどれくらいか?これが1時間放置されたらどうか?1時間放置されれば、それは潜在的な被害は60倍になるか?1日、1週間、1か月の場合はどうか?インシデントが報告されなかった場合は、どのような結果が起こるかは計り知れない。ヒューマンファイアウォールとしてすべきことは、潜在的なセキュリティインシデントはその規模にかかわらずすべて直ちに報告することである。
- 行動指針5:常にセキュリティポリシーに従う
セキュリティポリシーは推奨事項ではない。従業員はセキュリティポリシーを理解し、これに常に従う必要がある。何か不明な点がある場合は、質問する。臆測で行動することは禁物。さらなる情報が必要な場合は、常に支援を求める。
<「人」を狙う攻撃を止めるための新しいスタイルのセキュリティ意識向上トレーニング”New School”>
「人」を狙う攻撃を止めるために忘れてはならないことの原点は、セキュリティ意識に対する心構えにある。セキュリティ意識を持ち、常に注力することであるが、これは、業務時間中にだけのことではない。特に、あなたの回りで進むデジタル化の世界では、一時も注意を怠ることはできない。自宅、職場、外出時、すべての時間で注力し、日々の生活の一部として行動できるように、セキュリティ意識を根付かせることが必要である。
ここで、これまでの集合型のセキュリティ教育やeランニングについて、まず、考えてみたい。机上の論理だけでは、日々巧妙化する手口を駆使するサイバー攻撃集団やサイバー攻撃者に対抗することはできないことを理解すべきである。
では、どうすべきかについて、KnowBe4はどのように考えているかを解説してみたい。
セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーであるKnowBe4は、2010年8月に米国フロリダ州タンパベイで誕生した。KnowBe4が目指すところは、セキュリティテクノロジーベンダーとは、基本的に異なっている。セキュリティテクノロジーベンダーは、テクノロジーの脆弱性をテクノロジーによって防御しようとしている。また、昨今登場してきているセキュリティ教育会社やメール訓練サービスプロバイダーとも、理念が根本的に異なっている。彼らは、企業の従業員にサイバー攻撃の基本知識を教育し、模擬フィッシングメールを送信して訓練することで、情報漏えいなどのサイバーリスクに対処しようとしている。これは、現状の攻撃に対する一過性の研修であり、これまでの集合型のセキュリティ教育やeランニングと何も変わっていない。KnowBe4は、創立以来、ヒューマンエラーという「人」が抱える生来の問題に取り組んできている。サイバー攻撃の人的防御という側面から、サイバー攻撃に立ち向かってきている。この基本理念として、KnowBe4はヒューマンファイアウォールという概念を考案し、この方法論として、KnowBe4は新しいスタイルのセキュリティ意識向上トレーニング”New School”を作り出したのである。
<セキュリティ意識向上トレーニングにおけるNetflix>
セキュリティ教育やeランニングの退屈さ。会社命令であるから、仕方なく受講しているのは、従業員の本音である。特に、デジタルネイティブと呼ばれる新世代の社員にとっては、大きな苦痛である。ここに、”New School”の発想の原点がある。デジタル時代が進展する中、家庭では、当たり前のように、Netflixのようなオンラインストリーミングプラットフォームが好みのコンテントを自在に選択して鑑賞している。KnowBe4のビデオトレーニングでは、セキュリティ意識向上トレーニングを楽しく受講してもらうために、10分ほどの各エピソードをドラマチックに訴求して、ストーリー展開していく。これは、まさにセキュリティ意識向上トレーニングにおけるNetflixである。まずは、参考までに、ぜひThe Inside Man シーズン2の日本語吹替予告編をアクセスしてほしい。
<世界最大のセキュリティ意識向上トレーニングコンテンツ・ライブラリー>
KnowBe4では、数多くの研究者やサイバーセキュリティエキスパートが最新のサイバー攻撃の現状を調査・研究している。KnowBe4は、彼らの調査・研究の成果を反映して、世界最大のセキュリティト意識向上コンテンツライブラリー「MODSTORE」を定期的に更新して、提供している。また、セキュリティ意識向上を全社で取り組むために、MODSTOREには、トレーニングモジュールや模擬フィッシング演習テンプレートの他に、ゲーム、ビデオモジュール、アセスメントモジュール、ポスター/イラストなどの多彩なコンテンツを用意している。
トレーニングコースを受講するだけでは、実戦には使えない。実際の演習訓練は不可欠である。KnowBe4では、最新のサイバー攻撃の現状に即した本番さながらなソーシャルエンジニアリング攻撃の擬似体験を可能にする演習と並行して実施される。KnowBe4は、数多くの研究者やサイバーセキュリティエキスパートの英知を結集した、今市場で提供されている最も実戦的なフィッシングテスト環境を提供しています。38言語で用意された実証済みの各種のフィッシングテンプレートから構成される多様なカテゴリーから選択することでカスタマイズすることができる。
最新のフィッシング攻撃を反映したフィッシングテンプレート(一部)
<Train-Phish-Analyzeのサイクル - データドリブンというアプローチ>
「社員一人ひとり」に”ヒューマンファイアウォール”を根付かせることが必要である。このためには、社員一人ひとりに数字という評価指標を示すことで、”ヒューマンファイアウォール”としての強固さを認知させることが不可欠です。KnowBe4のプラットフォームは、データドリブンという考えのもとに構築されている。ここでは、様々な評価指標が測定されている。例えば、トレーニングプロセスにおいては、受講者のトレーニングコース受講率とテストスコアなど、フィッシング演習プロセスでは、模擬フィッシング攻撃を通してどれくらい攻撃被害を受けやすいかをPPP(Phishing Prone Percentage:フィッシング詐欺ヒット率)を測定している。これらを統計分析することで、受講者一人ひとりの弱点を見付け出し、改善していくことができる。KnowBe4の統合型プラットフォームの中核となるものが、このTrain-Phish-Analyzeのサイクル。これを繋いでいるのが、データドリブンというアプローチである。
<まとめ>
冒頭で触れたが、サイバー攻撃が顕著に増加している。サイバー空間の中では日本もすでにデジタル戦争に巻き込まれていると言える。サイバー攻撃は一過性の問題ではない。
継続する終わりのない戦いである。「社員一人ひとり」に”ヒューマンファイアウォール”を根付かせることで、この終わりなき戦いに立ち向かう必要がある。KnowBe4 Japanの営業を統括する日本法人営業統括本部長ガブリエル・タンは、日本でのサイバー攻撃対策の現状と対策について、次のようにコメントしている。
「サイバーセキュリティの経営問題として注力の必要性は、2015年から経済産業省が指摘している。「サイバーセキュリティ経営ガイドライン」(平成27年12月初版〜令和3年4月更新版)では「サイバーセキュリティは経営問題であり、経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要であることを訴え続けているが、日本企業および団体でのその認識は十分に浸透していない。直近の警視庁の発表(警視庁、「サイバー空間の脅威を巡る年間情勢」)によると、2021年に検知した不審なアクセスは過去最多を更新し、全体の99.5%は海外が送信元と報じている。日本企業や団体を狙うサイバー攻撃は、国境がなく組織化されている脅威であり、テクノロジーだけに頼る対策はもはや限界である。自社の確固たるヒューマンファイアウォールの構築が急務で、決して後回しすることはできない。」
<KnowBe4セキュリティ意識向上トレーニングプラットフォームのデモについて>
是非、KnowBe4のプラットフォームの違いを体験していただきたい。ご希望の方は、KnowBe4 Japan合同会社へ電話(03-4588-6733)またはメール(info@knowbe4.jp)で連絡ください。
――――――――――――――――――――――――――――――――――――――
KnowBe4 Japan合同会社
〒100-0004 東京都千代田区大手町1-9-2 大手町フィナンシャルシティ
グランキューブ3階 Global Business Hub Tokyo
電話 03-4588-6733 eメール info@knowbe4.jp
<KnowBe4について>
KnowBe4(NASDAQ: KNBE)は、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT/データセキュリティ・エキスパートであるStu Sjouwerman(ストゥ・シャワーマン)によって2010 年8 ⽉に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素:ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺(BEC)を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。世界で最も著名なサイバーセキュリティ・スペシャリストであるKevin Mitnick(ケビン・ミトニック)がCHO(Chief Hacking Officer)を務めています。同氏のハッカーの視点に立った知見をベースにKnowBe4のトレーニングプログラムは組み立てられています。2022年4月現在、 5万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。KnowBe4についてさらに知りたい方は、www.knowbe4.jp をアクセスしてください。
行動者ストーリー詳細へ
PR TIMES STORYトップへ