企業を狙う「横方向」のサイバー攻撃。ラテラルフィッシングメール攻撃の脅威

従来の常識や技術では防御が難しい「横方向」のサイバー攻撃が増加中(写真:アフロ)

 ここ数年、ジワジワでは有るが、目につくようになってきた攻撃手法に「横方向(ラテラル)」の攻撃が有る。ラテラルフィッシングやラテラルムーブメントと呼ばれる脅威で、従来の常識や、防御策では十分な対策を施せない。今回はラテラルフィッシングについて解説しよう。

■正規ドメインから発行されるラテラルフィッシングメール

 現在、企業を襲う脅威の中で最も多いのが標的型攻撃と呼ばれるもので、主にフィッシングメールを利用したマルウェア感染や、ID/PW情報の盗難が問題となっている。

 フィッシングメール対策は幾つも存在するが、従業員側のリテラシーとして「偽ドメインからのメール」と思われるメールには反応しないという「常識」が有る。例えばアップルを語るメールで有るにも拘らず、アップルとは全く異なるドメインから送付されてきたメール等だ。

 しかし、ラテラルフィッシングは、「正規ドメイン」からフィッシングメールが送付されて来るので、この「常識」が通用しない。

 最近のサイバー攻撃者はフィッシングメールを送付するために、正規ドメインに侵入する。例えば、abc.comというドメインの企業が有ったとしよう。サイバー攻撃者は、abc.comの従業員に対してOffice365等のメール送信機能を持ったクラウドサービス等の偽のログイン画面へと誘導するフィッシングメールを送付する。その偽のログイン画面と知らずに、ID/PWを入力した社員の、ID/PWを利用して、サイバー攻撃者は正規のOffice365等に侵入する。

 そして、「正規のアカウント」と「正規のドメイン」からフィッシングメールを送付するのだ。あくまでOffice365は一例として挙げただけだが、ポイントはフィッシングメールを送付するために、正規のドメインからフィッシングメールを送信出来る環境を作り出そうとすることだ。

 こうして、abc.comの社員に対して、abc.comのドメインから「パスワードの有効期限」等の案内文と見せかけて、偽のログイン画面等へと誘導し、大量のID/PWを不正に取得する。

 ラテラルフィッシングの特徴は「正規のドメイン」からメールが送付されているため、従来のフィッシングメール対策ソフト等では検知出来ないことも多く、また「偽ドメインに反応しない」という常識も通じない。そのため、一度ラテラルフィッシングが可能な状態を作り出されると、成功率が高い攻撃手法とも言われている。

■ラテラルフィッシングに対する対策

ラテラルフィッシングは比較的新しいサイバー攻撃で有り、ラテラルフィッシングそのものの対策技術というのは、まだ存在していない。筆者なりに考えた現存するソリューションを利用して、ラテラルフィッシング対策を実施する方法を記載する。

1.セキュリティ意識向上トレーニング

標的型攻撃に対するセキュリティトレーニングを改善し、この新しい攻撃についてユーザー教育を実施することで、ラテラルフィッシングの成功率を低下させることが期待される。

偽の電子メールアドレスを使用して攻撃メールを送信する従来のフィッシング攻撃とは異なり、ラテラルフィッシングは正当な(ただし侵害された)アカウントから送信される。その結果、送信者のプロパティまたは電子メールヘッダーを確認して偽の送信者またはなりすましの送信者を特定するようにユーザーに伝えることは、もはや通用しない。

多くの場合、ユーザーはリンクをクリックする前にリンクのURLを注意深く確認して、ラテラルフィッシングを識別することが大切だ。メールに表示されるURLテキストだけでなく、メール内のリンクの実際の宛先を確認することが重要となる。

2.不正なDNSやURLの検出技術の採用

ラテラルフィッシングは、主にID/PW盗難に利用される傾向に有り、フィッシングサイトへ誘導されるケースが多い。そのため、誤ってURLをクリックした際に、フィッシングサイトへの誘導を阻止出来るソリューションが有効だ。最近では、DNS通信を傍受し、不正なドメインやURLへのアクセスを検出/ブロックするソリューションが登場しているので、こういった技術を用いることで、被害に遭う確率を低下させることが期待出来る。

3.多要素認証

組織がラテラルフィッシングのリスクを軽減するためにできる重要なことの1つは、多要素認証を使用することだろう。セブンペイの件で、注目を集めることになった多要素認証だが、実は大半の日本企業では自社のID保護として採用されていないというのが実態だ。

多要素認証を取り入れることで、ID/PWだけが仮に盗難されてもシステムにログイン出来ない状況を作り出すことが出来れば、サイバー攻撃者による不正アクセスを制限および削減するのに役立つだろう。