認証に利用されるIDやパスワードといった「クレデンシャル」は攻撃者の格好のターゲットです。正規のクレデンシャルを利用してシステムに侵入すると、与えられた権限の範囲で自由にデータやシステムにアクセス可能になります。しかも、それが正規の利用者なのか悪意のある攻撃者なのかをシステム管理者がリアルタイムに判別することは通常困難です。アイデンティはゼロトラストの重要要素の1つで、このアイデンティティを特定エンティティと結びつけるのが「クレデンシャル」であるため、その保護はセキュリティ上の重要課題となっています。
攻撃者がクレデンシャルを入手する代表的手法を以下に挙げます。
この中でもフィッシングは古くから利用されている手口で、現在でも多くのフィッシングメールが個人用だけでなく業務用メールボックスにも届いています。特にコロナ禍でSaaSやリモートアクセスを利用した在宅勤務が増加していることから、弊社の脅威インテリジェンスリサーチグループUnit 42でも、ビジネスユーザーをターゲットにしたフィッシング攻撃が世界的に増加していると報告しています。
MITRE社のATT&CK®フレームワークではクレデンシャルを盗み出す技術的手法を二要素認証の傍受を含む約50種類に分類しています。ただし、これらの手法の中でも「フィッシング」が長期にわたりよく利用されています。その理由には以下の3つが考えられます。
Unit 42の調査にもあるように、フィッシング攻撃が減少する兆しはありません。このため、フィッシング対策を徹底する必要があります。多要素認証の導入、ユーザに対する教育や訓練はフィッシングからクレデンシャルを守るために非常に有効です。これらに加え、次世代型ファイアウォールをはじめとする既存のネットワーク機器やサービスの活用でもリスクを低減できます。一般的なフィッシング攻撃のステップを図1に図解しましたので、この図に沿って解説します。
1. メール送信攻撃者はメールに偽サイトへのリンク、もしくは偽サイトへのリンクを含むファイルを添付してターゲットに送信します。このリンクや添付ファイルをチェックすることで偽サイトへのアクセスをブロックします。弊社製品ではWildFireを使うと実現できますので、各種設定について以下を参照してください。 |
|
2. 偽サイトへアクセス精巧に作られたメッセージに騙されたユーザーは、リンクをクリックして偽サイトへアクセスします。偽サイトへのアクセスをネットワークレイヤで検出・ブロックする方法として、以下のようなものがあります。
|
|
3. クレデンシャル入力偽サイトへ誘導されたユーザーは、指示に従って認証用IDとパスワードを入力します。ユーザーがクレデンシャルを送信するこのタイミングが漏洩を防ぐ最後のチャンスです。
|
フィッシングは人を騙す技術が中心のため、ユーザー教育が重要になります。手口や傾向を知ることで未然に攻撃を防ぎ、騙されてもすぐに対応をすることで被害を最小に抑えることができます。しかし攻撃者の手口は高度化しており、さらにフィッシングに使われるトピックによっては普段注意深い人でも騙される可能性があります。全ての人が常に本物と偽物を見分けることは現実的には不可能なため、フィッシング攻撃には教育だけでなく技術的対策も不可欠となります。既にパロアルトネットワークスの次世代型ファイアウォールを導入している場合、セキュリティサブスクリプションの追加や、基本機能として付帯されている設定を変更することですぐに本稿で紹介した対策が可能となりますので是非ご活用ください。
By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement. Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.