スピアフィッシングに対するベストプラクティス

2011/10/14

企業ネットワークにとって最大の脅威は何でしょうか。Operation Shady RATはもちろんのこと、Epsilon、RSA、テネシー州にあるオークリッジ研究所、政府当局者のGmailアカウントに対する攻撃など、注目を集めている最近のサイバー攻撃の多くは、スピアフィッシングベースの攻撃であると推測されています。

スピアフィッシングとは、特定のターゲットに対し、ターゲットに応じて手法をカスタマイズして重要なデータを盗み出したり、企業ネットワークにアクセスできるようにしたりする、不正なソーシャルエンジニアリングの手法です。通常のフィッシングと同様、スピアフィッシングでは、メールを使用して、受信者にパスワードなどの機密情報を漏えいさせたり、添付ファイルや偽のURLをクリックさせたりします。クリックすると、バックドアを開くトロイの木馬などがダウンロードされ、そのバックドアを使用することで、ターゲットネットワークから多数の機密データが盗み出されます。これらの攻撃の中には、ターゲットに気づかれることなく、数カ月に渡って続く場合もあり、見つかったときには、被害の規模を把握するのが非常に困難な場合さえあります。

通常のフィッシングと異なり、スピアフィッシング攻撃は慎重に選ばれた少数の特定されたユーザーをターゲットにして行われます。スピアフィッシングの文面は、多くの場合、ターゲットを名前で呼び、ターゲットが知っている従業員や組織のメールアドレスから送信されたように装い、組織のスタッフしか知らないような情報や用語で書かれています。多くの攻撃者が、同時にターゲットを威嚇したり、緊迫感をもたせたりすることで、攻撃者の言うことに従う以外、選択肢がないと思わせます。最近では、ソーシャルメディアもスピアフィッシングに利用されており、セキュリティを熟知している従業員であっても、攻撃の被害にあっている事例も多数見られます。

セキュリティテクノロジにより、スピアフィッシングとその脅威に対処することは可能ですが(「Operation Shady RATの全貌:フレームワークでより強力な対策を」を参照)、いかに最新のテクノロジを使用したとしても、セキュリティのベストプラクティスを実践し、自ら自分の身を守るよう心がけることが必要です。

スピアフィッシングに対するベストプラクティス

  1. スピアフィッシングから身を守るためには、まずはスピアフィッシングそのものについて知らなければなりません。具体的には、スピアフィッシングの戦術、適切なベストプラクティスを理解すると共に、ユーザーがいかに簡単にだまされるかを体験的に知るための演習を定期的に行う必要があります。演習では、同時に標的にされたと疑われる場合に従業員が講じるべき具体的な対策を教えると良いでしょう。なお、新入社員にはできるだけ早く演習を行うようにしてください。
  2. メール、添付ファイル、メールに記載されているリンクを使用して、従業員の情報を社内で収集しない、情報をメールでパートナーに明かさないという会社の方針を周知してください。従業員が、相手を個人的に知っている場合や既知の社内番号に折り返し電話する場合を除いて、ヘルプデスクまたは上司からの電話を装う相手にユーザー名やパスワードの情報を漏らさないようにすべきです。個人で使用するGmailなどのメール、ブログ、ツイート、ソーシャルメディアなどで、絶対に漏らしてはならない情報のタイプを明記して記憶ください。
  3. インシデントが発生した場合は、攻撃の規模を特定し、被害を抑え、調査に必要な記録を保持しなければなりません。万が一の状況に対し、インシデントが発生した際に講じるべき具体的な対応を明記したインシデント対応プランを作成して下さい。プランには対応だけでなく、対応を講じる責任者も明記する必要があります。