進化するフィッシング、もうメールだけの詐欺ではない

SANS Instituteは2月13日(米国時間)、「Phishing - It's No Longer About Malware (or Even Email)｜SANS Institute」において、進化するフィッシング技術について伝えた。サイバー犯罪者が技術的および社会的環境の変化に合わせてフィッシングの攻撃手法を変化させ続けていると警告している。

フィッシングはサイバー犯罪者が使用する最も一般的な戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)であり、効果的であるため古くから利用されている攻撃手法とされている。シンプルな手法であるため容易に規模を拡大することが可能で、ターゲットに合わせてカスタマイズし、多くのセキュリティ制御を回避できると説明されている。

ここ数年フィッシングが進化を続け、手口および目標に変化が生じてきていると分析されている。従来の電子メールを介してのフィッシング攻撃から、AppleのiMessageやWhatsAppなど標準的なショートメッセージサービス(SMS: Short Message Service)機能を持つメッセージング技術が悪用されるようになってきたという。多くのメッセージ機能にフィルタリング機能がないため、攻撃への悪用が増加したのではないかとみられている。

また、フィッシング攻撃の最終目標がマルウェアの感染から3つの異なる目標に変わってきていると報告されている。新たなフィッシング攻撃の目標は次のとおり。

パスワードの窃取 - リンクをクリックさせ、パスワードを収集するWebサイトに誘導する
電話の悪用 - リンクではなく電話番号を攻撃経路とするものが増加。被害者に電話番号に電話させることを目標にしている
詐欺 - リンクや添付ファイルはなく、上司や同僚、勤務先や取引先の会社など被害者の既知の人物あるいは信頼している人物になりすまし、ビジネスメール詐欺(BEC: Business Email Compromise)やギフトカード詐欺、請求書詐欺などの詐欺を行う

従業員を対象としたセキュリティの教育においては、フィッシングの種類や誘い文句に焦点を当てるのではなく、最も一般的に共有されているサイバー攻撃の指標や手口に注目することが推奨されている。フィッシング攻撃はもはや電子メールだけでなく、さまざまなメッセージング技術を悪用していると強調されている。電子メールまたはメッセージを問わず、緊急性や圧力、好奇心が含まれたものや同僚や信頼できる組織になりすましたものだま騙されないよう、トレーニングを実施することが望まれている。
（後藤大地）