フィッシングメールは絶えず進化しています。フィッシングメールは、人々の感情につけ込み、人々の恐怖や不安が高まっている心理状態に便乗して、マルウェアを配布し、認証情報を盗み、詐欺を働きます。パンデミックが始まって以来、サイバー犯罪者はさまざまなフィッシング手法やその他のソーシャル エンジニアリング ツールを使って、企業から何億円もの大金を吸い上げてきました。最新の「Verizon Data Breach Investigations Report (Verizon のデータ漏えい調査レポート)」によると、データ侵害の 85% に人的要因がかかわっており、61% に認証情報がかかわっているとのことです。
この数年にわたり、特にビジネスの世界では、人および人とのコミュニケーションを認証することがますます難しくなってきています。また、リモートワークの急速な増加により、ユーザーは攻撃者の新たな標的となっています。Anti-Phishing Working Group の報告によると、2020 年だけでフィッシングは 300% も増加したとのことです。「State of the Phish 2022 年次レポート」の調査によると、昨年、83% の回答者がフィッシング攻撃の被害に遭いました。これは前年比 14% の増加です。
これらの傾向は、効果的なフィッシング対策戦略には、十分な教育を受けた人材や脅威のブロックだけでは不十分であり、多層的な防御アプローチが必要であることを示しています。
フィッシング対策をセイバーセキュリティ戦略に組み込むにはどうすればよいか?
図 1.セキュリティの支出と侵害の原因
Gartner によると、セキュリティへの支出は、データ漏洩やその発生源に合わせた支出になっていません。
組織は、データ漏洩のリスクと影響を軽減するために、人を中心としたセキュリティ技術への投資を増やすことを検討する必要があります。
脅威状況が進化し続けているため、組織は人を標的とした脅威を阻止するために多層的な防御に投資する必要があります。組織に最大のリスクと影響をもたらす脅威に対して、必要に応じて予算をシフトすることが重要なのです。
フィッシングでは、たった 1 つの脅威がアカウントの侵害、大規模なデータ漏洩、またはランサムウェア攻撃につながる可能性があります。効果的なメール セキュリティ ソリューションは、悪意のあるメッセージからの多層的な保護を提供するものでなければなりません。そうした保護には、高度な検知、実用的な可視性、自動修復、認証、データ損失の予防、ブラウザの分離やセキュリティ教育などの適応型セキュリティ コントロールなどが含まれます。このような制御があれば、セキュリティチームはメール脅威からユーザーを保護できるという自信を持つことができます。
フィッシングを防止するための主要な層
図 2.プルーフポイントの第四世代マシンラーニング
脅威を素早く検知して阻止できるようにするため、プラットフォームには幅広い可視性が必要です。Proofpoint Email Protection は、Fortune 100、Fortune 1000、および Global 2000 にランクインする企業で最も多く導入されているソリューションで、複数の攻撃経路を対象としています。
フィッシング対策にプラットフォーム ソリューションや多層的なアプローチを使用することで、脅威とそれがどのように従業員を狙っているのかを可視化します。また、メール、クラウド、ネットワーク、ドメイン、ソーシャルネットワークにまたがる脅威インテリジェンスを活用することで、プラットフォームは、ユーザーの不注意によって事態が悪化するフィッシング攻撃をより適切に検知して阻止することができます。
図 3.プルーフポイントの検知スタック
プルーフポイントの高度な検知スタックは、誤検知によるセキュリティチームへの負担を防ぎ、より多くの脅威を検知して阻止できるようにします。測定結果によると、プルーフポイントの検出効率は平均 99.999% を超え、誤検出のメッセージは 400 万通に 1 通以下です。
高度なセキュリティ プラットフォームには、人工知能や機械学習を用いたコンテンツ、行動、サプライヤーに関するシグナルとともに、URL や添付ファイルなどの悪意のあるペイロードの高度な検出が含まれている必要があります。なぜなら、ビジネスメール詐欺 (BEC) などのような新しいフィッシング攻撃は悪意のないペイロードを運ぶことが多いため、検出するのが困難だからです。プルーフポイントをはじめとする企業は、高度な技術を駆使して毎日何十億通ものメッセージを検知、捕捉、および分析し、フィッシングの脅威がそもそも従業員に及ばないようにブロックします。
また、復旧の面ではスピードと自動化が重要です。メール受信後、またはユーザーから報告されたメッセージからインシデント レスポンスを自動化する機能は、運用オーバーヘッドを増やすことなく、リスクをさらに軽減するのに役立ちます。メール セキュリティ インシデントとその修復に時間がかかると、IT チームは気が散るだけでなく、負担が大きくなり、より重要なプロジェクトにリソースを割り当てることができなくなります。
図 4.組織の中で特に注意が必要な人物である Very Attacked People™ (VAP)
組織の中で特に注意が必要な人物である Very Attacked People™ (VAP) のような実用的な可視化を使用することで、企業はブラウザの分離やセキュリティ意識向上トレーニングなどの制御を行いながら、リスクをより戦略的に軽減することができます。
検知と同様に重要なのは、メールセキュリティのリスクと、組織の中でそのリスクに最もさらされている人物を特定する能力です。さらに重要なことは、どのユーザーが標的になっているかを把握することです。Web分離などの適応型のセキュリティ制御を提供することで、最もリスクの高いユーザーの保護を強化し、IT スタッフがリスクをより迅速に軽減できるようサポートすることができます。
統合されたWeb分離機能により、企業にとって最適な環境を提供することができます。Web や不明の URL を自由に閲覧できるようにしながら、悪意のあるコンテンツがユーザーの会社支給デバイスで実行されないよう、効果的なセキュリティ制御を実現します。また、「すべて許可」や「すべてブロック」を設定するのではなく、アイソレーションを使用して、潜在的にリスクの高い行動を管理するポリシーを有効にすることで、IT チームはユーザーの危険な行動に歯止めをかけることができます。
図 5.メール警告タグ
HTMLベースのメール警告タグと「Report Suspicious (不審なメールを報告)」ボタンにより、ユーザーは使用しているデバイスやアプリケーションに関係なく、潜在的に悪意のあるメッセージを簡単に発見し、報告することができます。
また、最新のフィッシングやソーシャル エンジニアリングのテクニックについてユーザーを教育することは、リスクを軽減し、組織内にサイバーセキュリティの文化をもたらします。セキュリティ意識向上トレーニング、そしてメールでのコンテキストに基づくガイダンスにより、不正アクセスの成功を阻止することができます。
ユーザーの行動は予測不能であり、誰もがフィッシング攻撃の標的になり得るため、組織内の誰が最も標的にされているか、どのようにすれば VAP をより適切に保護できるかを理解することが不可欠です。セキュリティ意識向上プログラムを正しく実施すれば、フィッシングのリスクを最大 90% 軽減し、よりよい行動への変化を促すことができます。また、コンプライアンス遵守を確保し、ユーザーのダウンタイムを最小限に抑えることができます。また、フィッシングメールを発見し、防止するようにユーザーを教育すると、ユーザーは防御壁の役割を担うことができます。
また、メール警告タグは継続的な行動改善に役立ち、ユーザーはタグそのものから直接応答することによって、不審なメールをより簡単に報告することができます。メッセージが外部から送信され、なりすましや正当なドメインを装っている可能性がある場合、ユーザーはナッジを受け取ることができますメール警告タグやナッジは、潜在的な脅威を識別する方法をユーザーに教育しながら、リスクを軽減するのに役立ちます。
適切なメール認証プロトコルを使用することで、顧客、従業員、そして収益をメール詐欺から保護することができます。DMARC 認証がシンプルになり、メール詐欺の阻止と信頼できるドメインの保護に役立ちます。また、なりすましの脅威、フィッシング、マルウェア、スパムなど、サプライヤーがもたらす詐欺のリスクについての知見を得ることができます。
また、Proofpoint Email DLP (Data Loss Prevention) は、メールを介したデータ漏洩のリスクを軽減し、メール経由での機密情報の外部流出を未然に防ぎます。機密情報を正確に分類し、メールによるデータ窃取を検知して、重要なデータの損失を防ぎます。クラウドサービス、メール、エンドポイント、オンプレミスのファイル共有のすべてでコンテンツを保護することにより、フィッシング攻撃や不注意からデータをより強力に保護することができます。
次のステップ:フィッシングが組織に与える影響を確認する
サイバーセキュリティの状況は絶えず進化しており、特にフィッシングの世界では、その傾向が顕著に見られます。企業は、多層的なアプローチを可能にし、最新のフィッシングやソーシャル エンジニアリングの手法について常に従業員と確認し合うことが重要です。
総合的なプラットフォームのアプローチを使用して組織の安全を確保し、従業員が脅威をより認識できるようにすることで、リスクを大幅に軽減し、より安全な環境を構築することができます。
ご自身の環境におけるフィッシングの脅威を確認してみませんか?無料の簡易リスク アセスメントをご利用ください。
- リスク状況を把握して、お使いのメール セキュリティ ソリューションが見逃している脅威を発見する
- Very Attacked People (VAP) など、組織内の誰が狙われているのかを可視化する
- 進化する脅威に対するプルーフポイントの統合された多層保護を確認する
※本ブログの情報は、英語による原文「A Defense-in-Depth Strategy to Phishing Prevention」の翻訳です。英語原文との間で内容の齟齬がある場合には、英語原文が優先します。