
F5ネットワークスジャパン合同会社
シニアソリューションエンジニア
加田 友広氏
桔梗原「情報セキュリティ10大脅威2021」の個人編2位は「フィッシングによる個人情報等の詐欺」でした。偽のWebサイトに誘導してクレジットカード情報などを搾取するフィッシング自体は、以前からも存在する手法ですが、F5ネットワークスは調査などでフィッシングの悪質化を確認していると聞きました。どのような変化があるのでしょうか。
加田ランサムウエアなどと比べると、確かにフィッシングは古くからある手法です。しかし、インシデントは減るどころか確実に増えています。F5ネットワークスのSOC(セキュリティオペレーションセンター)が計測しているインシデント数では、2020年は前年に比べて15%増加しています。理由としては、ECやネット銀行をはじめオンラインのサービスが増加していること、そして新型コロナウイルスの感染拡大によって、それらの利用者が増加傾向にあることが大きいと考えています。また、SMSによる通知で偽のサイトに誘導する「スミッシング」にうっかり引っかかってしまう被害も増えているようです。
さらにご指摘の通り手法も悪質化しています。以前のように偽のWebサイトに誘導して、利用者に直接情報を入力させるのではなく、Webサイトに誘導したら、その間にマルウエアを送り込む。そのマルウエアがオンラインサービスのログインIDやパスワードなどのクレデンシャル情報はもちろん、デバイスの構成情報などあらゆる情報を盗む手法があることを確認しています。
桔梗原IDやパスワードだけでなく、デバイスの構成情報を盗むということは、「通行証」を悪用するだけでなく、ユーザーに完全になりすますということでしょうか。
加田はい。「攻撃者は、あなたと全く同じ顔をした『仮面(マスク)』を作ることができる」と表現されています。
以前の手法では、パスワードを変更して不正なログインを防ぐことができましたが、この手法では通用しません。
桔梗原リアルタイムに情報を傍受して、それをどのように悪用するのでしょうか。
加田現在のサイバー攻撃のスピードは驚くほど速くなっています。先ほどワンタイムパスワードを盗むという話をしましたが、一般的にワンタイムパスワードは30秒などと有効期間が定められています。それらを悪用するためには、攻撃はスピーディでなくてはなりません。また、不正ログインが発覚する前に犯罪を終わらせるという目的もあります。
つまり盗まれたクレデンシャル情報は、即座に使われる可能性が高く、そのために攻撃者はプロセスを自動化するツールを使っていることも分かっています(図)。
図 窃取後即座に利用されるクレデンシャル
攻撃者は情報を窃取した事実が発覚する前に、確実に利益を得るための不正な活動を完了させておく必要があることから、不正アクセスにかかわる一連のプロセスを自動化するというアプローチも見られる
[画像のクリックで拡大表示]
例えば、ネット銀行に不正にログインして不正に送金を行う。その一連のプロセスを自動実行するリアルタイムフィッシングプロキシというツールも非常に簡単に取り引きされています。

日経BP総合研究所
フェロー
桔梗原 富夫
桔梗原ユーザーや企業は、どのように対応すればよいのでしょうか。
加田まずユーザー側は多要素認証があれば有効にするなど、基本的な対策をしっかりと講じることです。また、専用のアプリやブラウザに装備されているパスワードマネージャの利用も有効です。複雑なパスワードをサイトごとに自動生成することが可能でさらにそれをサイトごとに保存、サイトの再訪問時にはパスワードを自動入力します。また、従来からあるフィッシングの場合、ユーザーを偽サイトに誘導してきますが、ドメインが違えばパスワードマネージャは、しっかりとそれを見抜いてパスワードの自動入力は行いません。
桔梗原オンラインサービスを提供する企業にも対応が求められますね。どのような対策を講じていけばよいのでしょうか。
加田F5ネットワークスのリサーチ機関であるF5 Labは、NIST(米国国立標準技術研究所)のセキュリティ対策が定義しているフレームワークに準じた対策を提唱しています。具体的には「Identify(特定)」「Protect(防御)」「Detect(検知)」「Respond(対応)」「Recover(復旧)」に準じた対策です。
まず重要になるのが「防御」のための多要素認証の採用です。次いで重要なのがいかに不正アクセスを「検知」するかです。それには、通常とは違う不審な挙動「ふるまい」をリアルタイムに検知していくのが最適です。どのような手法で不正にログインしたにせよ、ログイン後の犯罪行為を検知できれば、利用者にアラートを通知したり、手続きそのものを中止したりなど適切な対処が可能になるからです。
例えば1つのデバイスから複数のアカウントによるログインを試行している、あるアカウントが特定期間に多数のログインを試みているという典型的なものはもちろん、AIなども駆使して不正と疑われる様々なふるまいを検知していくことが重要です。
桔梗原F5ネットワークスでは、どのようなソリューションを提供しているのですか。
加田アプリケーションセキュリティのための広範な機能をクラウドサービスとして提供しているのが「F5 Shape Security」です。フィッシング対策としては、リバースプロキシサービスによって、先ほど述べたふるまいベースの不正の検知などを実現します。
例えば、ワンタイムパスワードによる認証リクエストをF5 Shape Security経由に設定。そこでユーザーの操作情報をチェックし、ふるまいの中に自動化が疑われる挙動がないか、これまで見つかっている攻撃と似たような画面遷移をたどっていないかなど、多角的な解析でふるまいをチェックします。
また、SOCによる24時間365日体制での監視を行っていることも特徴です。SOC運用を通じて新しい攻撃を受けたり、発見したりしたら、ふるまい検知のルールも速やかにアップデートしていきます。
現在のサイバー攻撃は、ほぼすべてが金銭の窃取を目的としています。したがって、攻撃者にも経済合理性、ROI(費用対効果)の観点があります。攻撃に費やす工数やコストが積み上がるほどリターンが少なくなるため、攻撃の動向に対応して速やかかつ継続的に対策をアップデートしていくF5 Shape Securityは、攻撃者の経済合理性を破綻させ、攻撃者の動機を削ぐことができます。
桔梗原ユーザーがオンラインサービスを見極める目は、今後、さらにシビアになると考えられます。企業は、フィッシングをはじめとした脅威の最新動向に目を光らせつつ、最適な対策を常に検討し続けなければいけませんね。