> > Whaling(ホエリング)攻撃を防ぐ

RSSフィード

Whaling(ホエリング)攻撃を防ぐ

米連邦捜査局(FBI)は、世界中の企業がホエリング攻撃により 12 億ドル(約 1,200 億円)以上の金額を失っていると発表しました。

online-phishing-security-protection.jpg2015 年 12 月付けに Mimecast 社が公表した調査結果によると、55% の人々が過去 3 ヶ月でホエリング攻撃の回数が増えたと回答しています。
ホエリング攻撃は、攻撃側にとっては非常に実入りの良い犯罪で、被害者側は億単位での損害を被ってしまいます。
ホエリング攻撃とは企業の担当者・ユーザー(phish)ではなく経営層(whale)を狙った新手のフィッシング詐欺です。

2015 年 3 月に起きた最近の事件では、とある中小企業の担当者が当時出張中である筈の CFO (経理・財務担当役員)からメールをもらったことから端を発しています。
メールは 31 万 5,000 ドル(約 3,150 万円)を中国に送金するよう指示していました。
担当者は以前にも、もっと大きな金額を同様なメール指示で送金していましたので、経理にその旨、連絡し承認を得ることにしました。

しかし、その後 担当者は先に送られてきたメールに違和感を覚えた為、送金手続きを止めることにしました。送られてきたメールを細かく見なおした結果、メールのドメイン名はその企業のドメイン名に似てはいましたが、まったく別のものであったことが判明しました。

全てのホエリング攻撃が上述のように巧く防げるわけではありません。

似たようなホエリング攻撃によって、Ubiquiti 社は 2015 年 8 月に 4,600 万ドル(約 46 億円)の被害を被っています。

ホエリング攻撃は、企業に甚大な被害を与えかねない、世界規模での問題となっています。
FBI の発表によると全世界でホエリング攻撃による被害の総額は 12 億ドル(約 1,200 億円)まで達しています。

このような攻撃は、方法が単純であるにも拘わらず、非常に効果があり未然に防ぐのが難しくなっています。尚、ホエリング攻撃には次のような特徴があります。

狙った相手のことを詳細に調査

ホエリング攻撃が成功するか否かは、相手の信用を得ることに懸かっています。
受信側がホエリングのメールを信じなければ、詐欺は実行できません。受け手の信用を得る為に攻撃者は狙った相手のことを、ソーシャルメディアを使って詳細に調べます。

そして更に、企業のウェブサイトにある情報を有効活用してメールがいかにも正当なものであるように見せかけます。

アカウント・ドメインの乗っ取り、なりすまし

詳細な調査が終わった後、攻撃者は次の内のいずれかを行い、狙った相手の信用を更に得ようとします。

  1. フィッシングメールを使って、CEO・経営者のメールアカウントを乗っ取る。
  2. もしくは対象となっている企業のドメイン名に似ているなりすまし用のドメイン名を作成・使用する(例: example.com に対してexamp1e.com など)

攻撃者はこれにより、乗っ取ったメールアカウントもしくはなりすましたサイトより、相手にメールを送信していきます。信用している相手から送られて来たメールに対して、受け手は当然疑うことはせず、特に経営者からのメールと言った場合は、指示に従ってしまいます。尚、攻撃の72%がこのようなケースであることが報告されています

特定の人物・部署を狙う

ホエリング攻撃は特定の人物もしくは企業内の小規模なグループを狙ってきます。
それはほんの数人を対象としたものから千人規模に拡大される場合もあります。 
最初の例でも見られるように、狙われたのは経理・財務関連の担当者でした。そのやりくちから、攻撃者は CEO もしくは CFO になりすまして資金を取り扱うか、その業務に関して連絡・指示を受ける立場の人物・部署を狙ってきます。

リンク・添付の欠如

過去、ホエリング攻撃のメールはリンクや添付を送りつけて、受信側にクリックするよう誘導して、マルウエアを対象のパソコンに感染させる手法をとっていました。
攻撃側ではこのような手法を今でもとり続けてはいますが、Mimecast の最近の調査ではリンクや添付がないホエリング攻撃メールも見つかっています。
このようなメールはリンクや添付ファイルが無いこと、また巧くメールの内容が書かれていることからも、対スパム、フィシングフィルターの検知から、いとも簡単に漏れてしまいます。

送金指示

ホエリング攻撃のメールは、経理・財務担当者に攻撃側の銀行口座に送金をするよう指示してきます。オハイオ州のとある企業、また Ubiquiti 社では従業員が CEO からだとしたメールの信憑性を疑わなかった為、指示されたままに送金をしてしまっています。

ホエリング攻撃の防ぎ方

ホエリング攻撃は単純ですが、被害は甚大です。他のソーシャルエンジニアリング攻撃同様、教育によりセキュリティは強化できますが、それ以外の対策を講じることも可能です。
下記にいくつかホエリング攻撃を防ぐ手立てをリストアップしてみました。

  • メールアカウントの乗っ取りを防ぐ為に、二要素認証を導入する。
  • 送金に関する認証手順を確立する。例えば指示した人間と直接会うか、もしくは電話連絡にて本人確認を行う。メール指示にもとづいて送金する場合は従業員にメールのドメイン名の確認を徹底するように教育する。
  • 受信メールに、類似した異なるドメイン名を選別できるよう、フィルタリングを導入する。
  • 疑似ホエリング攻撃メールを従業員に送り、いかに騙されやすいか認識・教育する。
  • DigiCert 社の Certificate Monitoring などのツールを使って、類似した企業のドメイン名を監視・閲覧する。
  • クライアント証明書を導入して受信メールの送信元が正当なものか認証を行う。

ホエリング攻撃の被害は人為的なミスにより引き起こされます。ご自身と同僚・他の従業員に教育を施し、正しく必要なセキュリティ対策を導入することにより、企業の損害を最小限に抑えることができるでしょう。

この記事は、米国 DigiCert の許諾の下 DigiCert Blog の投稿記事を翻訳したものです。
オリジナル記事はこちら: How to Avoid Whaling Attacks - [2016 年 1 月 18 日投稿]