サイバーセキュリティにおける脅威動向は激しく変化しており、今年に入ってから第2四半期までの間にも目まぐるしく移り変わっている。そこで、今年のこれまでの脅威動向、そうした脅威から企業の情報資産を守るための最新のアプローチについて、米国Proofpointのワールドワイド システムズエンジニアリング & カスタマーサクセス グループバイスプレジデント、Ashan Willy(アシャン・ウィリー)氏に話を聞いた。
増えるビジネスメール詐欺メールの被害 - クラウド移行時は特に注意
まずアシャン氏は、今年前半の脅威動向をこう振り返る。「第1四半期には小規模で標的を絞った攻撃が数多く確認されていたのですが、第2四半期に移ると対照的に大量の攻撃キャンペーンが目立つようになり、また巧妙性も増しています」
なかでも注目すべきは、第2四半期における悪意のあるメッセージ量が、前四半期に対し250%も増加している点である。そしてマルウェアを含む悪意のあるメッセージの全量の68%をランサムウェアが占めている。
「WannaCryやPetyaの大流行をはじめ、ランサムウェアの変種・亜種が急激に増加していいます。またランサムウェアは量が多いだけでなく、標的型に変わってきている点も注目されます」と、アシャン氏は注意を促す。
もう1つ、今年第2四半期から見られる傾向として興味深いのが、ビジネスメール詐偽(BEC)の増加である。1年前には、悪意のあるメールに記されたURLをクリックさせ、エクスプロイトキットを強制的にダウンロードさせるという手口が主流であった。しかし、今年に入ってからは、悪意のあるメール中のリンクでエクスプロイトキットにリンクしているのはわずか1%に過ぎず、そのほとんどがフィッシングページにリンクされていたというのだ。
そして、BECで誘導されるフィッシングページには、クレデンシャル(認証情報)フィシングを仕掛けるものが急増している。ひとたび認証情報を盗まれてしまえば、攻撃者はその人になりすましてさらなる機密情報を窃取することも容易になるなど、極めてリスクが高まる。
「攻撃者は、盗んだ個人情報を一生悪用し続けることすら可能となってしまいます」(アシャン氏)
実際、この9月にもアメリカの消費者信用情報会社がクレデンシャル・フィッシングにより、社会保障番号や氏名、生年月日など、米国人の半数にも及ぶとされる膨大な個人情報が漏洩した事件が発生している。さらに、個人情報の救済をかたってさらに情報をだまし取るような、この事件に便乗したBECも増えており、今後数年間はその被害が続くと見られている。
このようなBECでよく狙われるのが、企業の情報システムをクラウドに移行したタイミングである。クラウドに移行するという情報は、社外の人間にも伝わりやすい。そこで攻撃者はこのタイミングを逃さず、パスワードの変更を促すもっともらしい詐欺メールなどを送りつけ、クレデンシャルフィッシングを行うというのだ。
アシャン氏は言う。「BECは90年代から存在しており、決して新しい攻撃手法ではありません。しかしながら、以前の詐欺メールは英語の文法がおかしいなど見抜きやすかったのが、最近になって文面が洗練されるなど巧妙化が進んでいます。取引先や顧客などとのやり取りの途中から誰かになりすました攻撃者が加わってきたりすることもあり、誰になりすましているのか、何が正しいメールなのかを判断することは非常に難しくなっています」
BECは標的型攻撃の一部となるが、従業員や顧客、パートナーを含めた組織の誰もが狙われている状況にある。マルウェアなどを用いなくても、メールのやりとりだけで金銭を振り込ませたり、情報を窃取したりすることに加え、件数自体は少ないため傾向としてとらえにくい。
「非マルウェア型の攻撃であるため、サンドボックスなどの既存のセキュリティ製品の仕組みでは検知できません」と、アシャン氏は強調する。
ビジネスメール詐欺を阻止するアプローチとは
ビジネスメール詐欺のようなメールが引き金となる標的型攻撃は、攻撃経路の実に90%にもという調査結果が出ている。にもかかわらず、企業の情報セキュリティ製品への投資全体に締めるメールに関するセキュリティの割合はわずか8%でしかない。
BECのようなソーシャルエンジニアリングを用いた攻撃が増え、また企業の間で進むクラウドへの移行が新たな攻撃機会を生み出している状況にあって、このままでは深刻なリスクを生じてしまうことになる。
このような脅威を予防すべく、「セキュリティ」「コンプライアンス」「デジタルリスク」を包括するソリューションを提供しているのがプルーフポイントだ。
「企業に対する攻撃の90%は、エンドポイントやゲートウェイのセキュリティ製品より前に、われわれのメールセキュリティ製品で止めることができる」と、アシャン氏は言う。
同社が提唱する「次世代メールセキュリティ」の製品では、まずウイルスエンジンなどで既知の脅威をブロックする「Eメール プロテクション」と、サンドボックスを用いて未知の攻撃をブロックする「ターゲット アタック プロテクション」が連携する。そして、ビジネスメール詐欺のような非マルウェア型攻撃もブロックできるのが、「Composite Learning Engine(スパムエンジン)」機能である。この機能は、機械学習などを用いてその企業に特有の情報についても学習し、10日間の学習の後には、その企業にあった対策を行うという。
アシャン氏はこう語る。「IPレピュテーションやドメインレピュテーションなどに、AIや機械学習といったテクノロジーを組み合わせてコンテンツを解析することで、ビジネスメール詐欺などの非マルウェア型の攻撃であっても特定することができる。こうした攻撃は、単一の手法では判断することはできない。それはAIや機械学習であっても同じだ」
メールを経由した攻撃が全体の90%以上を占め、その中にはビジネスメール詐欺のような非マルウェア型の攻撃が増えている今年の脅威動向を踏まえたとき、多くの企業はセキュリティ投資の見直しが必要となるだろう。