一度標的になると、常に標的にされ続けます
サイバー攻撃を受けた経営幹部に話を伺うと、多くの方はまず内省的になって「なぜ」を追求しようとします。なぜ、脅威アクターは私、私の組織、この文化を攻撃したのか?その理由は理解するのは難しいというのが実情です。確かに、金銭的利益、知的財産の窃盗、企業スパイ、妨害破壊行為、名声の失墜、政治活動などの動機が存在することも事実です。ですが、なぜ私を?なぜ私たちを?
ほとんどのサイバー攻撃は、特に洗練された、高度なコンピューター科学や量子力学を利用するものではありません。彼らは、本物のように見えるか、感情を引き付ける能力に秀でているかもしれません。ですが実際には、サイバー攻撃�は粗雑な組み立てラインの一部であり、あなたの組織は終わりのないシーケンスの最後の標的だったかもしれません。
サイバー攻撃の10件中9件は、被害の根本原因がフィッシング攻撃に関連していると報告されています。簡単に言えば、フィッシング攻撃とは、無意識のうちに被害につながるような行動をとらせようとする試みです。このような攻撃は、構成が容易で、費用対効果が高く、効果的です。フィッシングキャンペーンを開始するために、攻撃者は、メールアドレスに紐付けられる人間の標的を必要とします。攻撃者はこれらのアドレスを入手し、データベースに読み込み、攻撃を送信し始めます。彼らの目標はクリックさせることです。
フィッシング攻撃は、標的と言うよりもボリュームに重きを置いた攻撃手法です。攻撃データベース内に登録されると、その脅威アクターや組織化されたグループによるフィッシングキャンペーンの絶え間ない標的となります。国家安全保障での私の経験と、他の国家、犯罪組織などに関する私のチームの調査により、脅威アクターがその活動を組み立てラインに発展させていることが分かっています。標的の選定、発射と実行、技術的な攻撃手法、標的に対する活動、分析、キャンペーン後の搾取までを、異なるチームが専門的に分担します。特に攻撃者がこの手法で成功を収めると、これらの組み立てラインを経時的に最適化するような取り組みはほとんど見られません。
標的となるとその苦痛は長期化します
Cloudforce Oneチームは、比較的単純なフィッシングキャンペーンが複数の組織に深刻な長期的損害を与える可能性について、広範な調査を実施しました。2016年の米国大統領選挙の翌日、政治組織を標的としたロシアのスパイグループ「RUS2」が仕掛けた攻撃キャンペーンを調査しました。
標的データベースを再現することで、フィッシング攻撃の標的には、現在の政府関係者だけではなく、元政府職員や政治関係者も含まれていることがわかりました。標的となった個人は、転職後も長い間、個人のメールアドレスを介してフィッシングメールを受信し続けていたのです。一部の個人は、2016年の攻撃時に10年近くデータベースに登録されており、今も標的にされ続けています。
ゼロトラストで深刻な被害を阻止する
興味深いのはここからです。
侵害された名前、電話番号、メールアドレスはフィッシングデータベースに無期限に保存されます。電子メールが宛先不明で返ってくるにせよ、受信者が引っかからないにせよ、攻撃者は自分の保持するリストに修正を加えません。フィッシング攻撃の標的になると、無期限に標的にされ続ける可能性があるのです。
企業や政府機関にとって、フィ�ッシングデータベースに連絡先情報が保持されることは、さらなる危険の層となります。標的となった個人が転職すると、その個人は新しい組織を危険にさらし、新しい組織のネットワークに新たなベクトルを開いてしまいます。
フィッシング攻撃の単純性と有効性を考慮すると、サイバー攻撃者は、この戦術が効果的であるため、当面この戦術を使用し続けることでしょう。彼らの試みを阻止するためにできることはあまりありません。ですが、それが成功しないように防御策を講じることは可能です。
このリスクは常に存在し、すべての個人が標的候補となり得ると仮定しなければなりません。
過去20年間、米国国家安全保障機関とサイバー軍で働き、フィッシング攻撃を防ぐためのテクノロジーを構築してきた私は、フィッシングスキームの影響を軽減する最善の方法は、ゼロトラストセキュリティ戦略を採用することであることを発見しました。従来のITネットワークセキュリティは、ネットワーク内にあれば、すべての人とすべてのものを信頼します。つまり、一度アクセス権を得た個人またはデバイスは、デフォルトで信頼されるというものです。
ゼロトラストでは誰も、何も信頼しません。ネットワーク内のすべてのアプリや他のリソースに、何の制限もなく、信頼できるアクセス権を持つ人は存在しません。
ゼロトラストの最良のアプローチは、��マルチレイヤーであることです。例えば、防御の第一線として、ユーザーがテキストや電子メールの悪意のあるリンクをクリックする前に、フィッシングインフラストラクチャを専制的に探し、キャンペーンをブロックすることができます。また、攻撃者がユーザー名とパスワードへのアクセスを得ることができた場合でも、ネットワークを保護するために、ハードウェアベースのセキュリティを備えた多要素認証(MFA)を使用することができます。最小権限の原則を適用すれば、MFA制御を通過したハッカーが、限られたアプリケーションにしかアクセスできないようにすることができます。また、マイクロセグメンテーションでネットワークをパーティションに分割して、侵害を早期に封じ込めることもできます。
マルチレイヤーのセキュリティの有効性を直接体験する
At Cloudflare, we thwarted a phishing attack last year using MFA with hardware security keys as part of our multi-layered zero trust approach. The attack began when a number of employees received a text message that led them to an authentic-looking Okta login page, which was designed for credential harvesting. The attacker attempted to log in to Cloudflare systems using those stolen credentials along with time-based one-time password (TOTP) codes—the attack required that employees participate in the authentication process. Unfortunately for the attacker, Cloudflare had previously transitioned from TOTP to hard keys.
If the hard keys hadn’t been in place, other security measures would have prevented the attack from reaching its objective but, fortunately, the threat didn’t get that far. Our Security Incident Response team quickly blocked access to the domain used for the fake login page and then killed active, compromised sessions using our zero trust network access service. If the attacker had somehow reached the point of installing malicious software, the endpoint security we use would have stopped the installation. A multi-layered strategy like this one helps to ensure that even if one aspect of an attack is successful, the attack itself won’t cause substantial damage.
優位に立つ
私たちは、サイバー攻撃の脅威に常にさらされていますが、実際にはその手法はあまり進化していません。
攻撃が成功するのをどのように阻止できるでしょうか?
まず、強力なフィッシング対策を施しましょう。すべてのMFAコントロールが同じレベルの有効性を持っているわけではないため、フィッシング攻撃に強いMFAを採用し、IDとコンテキスト中心のポリシーを用いて選択的な強制を実装するようにしましょう。すべてのユーザー、すべてのアプリケーション、さらにはレガシーシステムや非Webシステムに対して、あらゆるところで強力な認証を実施しましょう。そして最後に、誰もが疑いの目を持ち、疑わしい行動を早期に、そして頻繁に報告する、非難��のない文化を確立することによって、全員が「チームサイバー」に参加するようにしましょう。
フィッシング攻撃を防ぐためにできることはあまり多くはありませんが、被害を防ぐためにできることはたくさんあります。ゼロトラストアプローチを採用することで、次回フィッシング攻撃の組み立てラインが自分のメールアドレス宛にメールを大量に送信した際に、被害が生じないようにすることができます。マルチレイヤーのCloudflare Zero Trustプラットフォームの詳細をご覧ください。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
このトピックを深く掘りさげてみましょう。
『ゼロトラストアーキテクチャへの段階的ロードマップ』ガイドで、ゼロトラストセキュリティへの移行方法とフィッシング攻撃の影響から組織を守る方法についてご覧ください。
著者
Oren Falkowitz — @orenfalkowitz
Cloudflare元セキュリティオフィサー
記事の要点
この記事を読めば、以下が理解できます。
個人情報が入手されると、攻撃者のデータベースに無期限に保存されます
フィッシング攻撃は粗雑な組み立てラインの一部です
フィッシング攻撃を防ぐのにできることは少なく、攻撃に先制するためにすることは膨大です