有識者と討論 サイバー攻撃の最新手口と対策 有識者と討論 サイバー攻撃の最新手口と対策

サイバー攻撃が社会の大きな課題となっている。テレワークに対応するために企業が構築した新しいネットワーク環境の脆弱性を突いたり、巧みな言葉で人をだましたり、攻撃者は様々な方法で攻撃を成功させようとしてくる。アンダーグラウンドでは、攻撃をサポートするためのツールや個人情報も売買され、攻撃の組織化、巧妙化に拍車をかけている。では、企業や私たち生活者は、サイバー攻撃にどのように立ち向かうべきか。ここでは、IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」を有識者と共に分析しながら、今後の動向と対策を考えていく。
(聞き手 日経BP総合研究所 フェロー 桔梗原 富夫)

リアルタイムに傍受して即座に悪用 悪質化するフィッシングの全容とは

Vol.1 社会インフラやテレワークを狙う攻撃 ゼロトラストはまず組織の課題に向き合うべきVol.3 reCAPTCHAの課題 不正ログインを防ぐために必要な方針とは?Vol.4 ワンタイムパスワード、SMS認証の課題 セキュリティと利便性を両立するには

様々なサービスがオンライン化され、利用が拡大するなか、フィッシングの脅威がさらに拡大している。リアルタイムに情報を窃取して、即座に利用する。窃取のプロセスを自動化して、不正を検知する隙を与えないなど、手口はますます巧妙化しているという。

攻撃者は完全にユーザーになりすますことが可能

F5ネットワークスジャパン合同会社 シニアソリューションエンジニア 加田 友広氏
F5ネットワークスジャパン合同会社
シニアソリューションエンジニア
加田 友広

桔梗原「情報セキュリティ10大脅威2021」の個人編2位は「フィッシングによる個人情報等の詐欺」でした。偽のWebサイトに誘導してクレジットカード情報などを搾取するフィッシング自体は、以前からも存在する手法ですが、F5ネットワークスは調査などでフィッシングの悪質化を確認していると聞きました。どのような変化があるのでしょうか。

加田ランサムウエアなどと比べると、確かにフィッシングは古くからある手法です。しかし、インシデントは減るどころか確実に増えています。F5ネットワークスのSOC(セキュリティオペレーションセンター)が計測しているインシデント数では、2020年は前年に比べて15%増加しています。理由としては、ECやネット銀行をはじめオンラインのサービスが増加していること、そして新型コロナウイルスの感染拡大によって、それらの利用者が増加傾向にあることが大きいと考えています。また、SMSによる通知で偽のサイトに誘導する「スミッシング」にうっかり引っかかってしまう被害も増えているようです。

さらにご指摘の通り手法も悪質化しています。以前のように偽のWebサイトに誘導して、利用者に直接情報を入力させるのではなく、Webサイトに誘導したら、その間にマルウエアを送り込む。そのマルウエアがオンラインサービスのログインIDやパスワードなどのクレデンシャル情報はもちろん、デバイスの構成情報などあらゆる情報を盗む手法があることを確認しています。

桔梗原IDやパスワードだけでなく、デバイスの構成情報を盗むということは、「通行証」を悪用するだけでなく、ユーザーに完全になりすますということでしょうか。

加田はい。「攻撃者は、あなたと全く同じ顔をした『仮面(マスク)』を作ることができる」と表現されています。

以前の手法では、パスワードを変更して不正なログインを防ぐことができましたが、この手法では通用しません。

盗まれたクレデンシャル情報は即座に使われる

桔梗原リアルタイムに情報を傍受して、それをどのように悪用するのでしょうか。

加田現在のサイバー攻撃のスピードは驚くほど速くなっています。先ほどワンタイムパスワードを盗むという話をしましたが、一般的にワンタイムパスワードは30秒などと有効期間が定められています。それらを悪用するためには、攻撃はスピーディでなくてはなりません。また、不正ログインが発覚する前に犯罪を終わらせるという目的もあります。

つまり盗まれたクレデンシャル情報は、即座に使われる可能性が高く、そのために攻撃者はプロセスを自動化するツールを使っていることも分かっています(図)。

図 窃取後即座に利用されるクレデンシャル

図 窃取後即座に利用されるクレデンシャル

攻撃者は情報を窃取した事実が発覚する前に、確実に利益を得るための不正な活動を完了させておく必要があることから、不正アクセスにかかわる一連のプロセスを自動化するというアプローチも見られる

[画像のクリックで拡大表示]

例えば、ネット銀行に不正にログインして不正に送金を行う。その一連のプロセスを自動実行するリアルタイムフィッシングプロキシというツールも非常に簡単に取り引きされています。

多角的なふるまい検知で攻撃を発見する

日経BP総合研究所 フェロー 桔梗原 富夫
日経BP総合研究所
フェロー
桔梗原 富夫

桔梗原ユーザーや企業は、どのように対応すればよいのでしょうか。

加田まずユーザー側は多要素認証があれば有効にするなど、基本的な対策をしっかりと講じることです。また、専用のアプリやブラウザに装備されているパスワードマネージャの利用も有効です。複雑なパスワードをサイトごとに自動生成することが可能でさらにそれをサイトごとに保存、サイトの再訪問時にはパスワードを自動入力します。また、従来からあるフィッシングの場合、ユーザーを偽サイトに誘導してきますが、ドメインが違えばパスワードマネージャは、しっかりとそれを見抜いてパスワードの自動入力は行いません。

桔梗原オンラインサービスを提供する企業にも対応が求められますね。どのような対策を講じていけばよいのでしょうか。

加田F5ネットワークスのリサーチ機関であるF5 Labは、NIST(米国国立標準技術研究所)のセキュリティ対策が定義しているフレームワークに準じた対策を提唱しています。具体的には「Identify(特定)」「Protect(防御)」「Detect(検知)」「Respond(対応)」「Recover(復旧)」に準じた対策です。

まず重要になるのが「防御」のための多要素認証の採用です。次いで重要なのがいかに不正アクセスを「検知」するかです。それには、通常とは違う不審な挙動「ふるまい」をリアルタイムに検知していくのが最適です。どのような手法で不正にログインしたにせよ、ログイン後の犯罪行為を検知できれば、利用者にアラートを通知したり、手続きそのものを中止したりなど適切な対処が可能になるからです。

例えば1つのデバイスから複数のアカウントによるログインを試行している、あるアカウントが特定期間に多数のログインを試みているという典型的なものはもちろん、AIなども駆使して不正と疑われる様々なふるまいを検知していくことが重要です。

桔梗原F5ネットワークスでは、どのようなソリューションを提供しているのですか。

加田アプリケーションセキュリティのための広範な機能をクラウドサービスとして提供しているのが「F5 Shape Security」です。フィッシング対策としては、リバースプロキシサービスによって、先ほど述べたふるまいベースの不正の検知などを実現します。

例えば、ワンタイムパスワードによる認証リクエストをF5 Shape Security経由に設定。そこでユーザーの操作情報をチェックし、ふるまいの中に自動化が疑われる挙動がないか、これまで見つかっている攻撃と似たような画面遷移をたどっていないかなど、多角的な解析でふるまいをチェックします。

また、SOCによる24時間365日体制での監視を行っていることも特徴です。SOC運用を通じて新しい攻撃を受けたり、発見したりしたら、ふるまい検知のルールも速やかにアップデートしていきます。

現在のサイバー攻撃は、ほぼすべてが金銭の窃取を目的としています。したがって、攻撃者にも経済合理性、ROI(費用対効果)の観点があります。攻撃に費やす工数やコストが積み上がるほどリターンが少なくなるため、攻撃の動向に対応して速やかかつ継続的に対策をアップデートしていくF5 Shape Securityは、攻撃者の経済合理性を破綻させ、攻撃者の動機を削ぐことができます。

桔梗原ユーザーがオンラインサービスを見極める目は、今後、さらにシビアになると考えられます。企業は、フィッシングをはじめとした脅威の最新動向に目を光らせつつ、最適な対策を常に検討し続けなければいけませんね。

お問い合わせ

F5ネットワークスジャパン合同会社
URL:https://www.f5.com/ja_jp/ContactFormJP