MailData

新時代のフィッシングの脅威とその対策計画

新時代のフィッシングの脅威とその対策計画

フィッシング脅威から保護するためのスマートな対策

2023年11月23日
著者: Ahona Rudra
翻訳: 竹洞 陽一郎

この記事はPowerDMARCのブログ記事 New Age Phishing Threats and How to Plan Ahead の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

フィッシングの脅威は年々進化しており、過去4年間で年間150%の増加を見せています。
サイバー犯罪者は、個人や組織から機密情報を引き出すために新たな手法を絶えず見つけ出しています。
フィッシング攻撃における人工知能(AI)の使用は、そのような進化の一つであり、これは高度なサイバーセキュリティソリューションへの需要の急増にもつながっています。

サイバーセキュリティにおける人工知能市場は、2022年から2030年の間に年平均成長率(CAGR)27.8%の成長が見込まれています。

高度なフィッシングの脅威の一般的なタイプ

高度なフィッシングの脅威には、個人化やソーシャルエンジニアリングを含むさまざまな洗練された戦術が含まれており、これらを検出することは難しいです。
これらの脅威は通常、以下のカテゴリに分けられます。

スピアフィッシング
AIと機械学習は、ソーシャルメディアやその他の情報源から広範囲にわたる公開データを収集し分析することで、非常に個人化されたフィッシングメールを作成するのに使用されます。
これらのメールには、ターゲットの興味、職務、最近の活動など、特定の詳細が含まれることがあり、より説得力を持たせます。
自然言語生成
AIによる自然言語生成(NLG)ツールは、NLPアルゴリズムを使用して、人間が作成したように見えるテキストを生成することで、より説得力のあるフィッシングメールを作成することができます。
非構造化データの収集と分析を使用して、カスタマイズされた高品質のコンテンツを作成するNLGは、受信者が言語のみに基づいてメールを詐欺として識別することを難しくします。
チャットボットとボイスクローニング
AI駆動のチャットボットとボイスクローニング技術は、信頼できる個人(例えばCEOやマネージャー)の声や振る舞いを模倣することができます。
攻撃者は、この技術を使用して電話をかけたり、メールやメッセージングアプリを介して会話を行ったりして、従業員をだまして特定の行動をとらせることができます。
クレデンシャル窃取
AIアルゴリズムは、盗まれたクレデンシャルの大規模なデータセットを分析して、パターンや一般的なパスワードを特定することができます。
この情報は、ログイン認証情報を盗むことに成功する可能性が高いフィッシングキャンペーンを作成するために使用されることがあります。
攻撃の自動化
AIは、大量のフィッシングメールの送信、脆弱なターゲットの特定、さらには説得力のあるフィッシングWebサイトの作成など、フィッシング攻撃のさまざまな側面を自動化することができます。
これにより、サイバー犯罪者はその操作を簡単に拡大することができます。

新時代の高度なフィッシングの脅威の目的

高度なフィッシングの脅威の目的は多岐にわたり、個人や組織を悪用することを目的とした悪意のある行為者によってしばしば推進されます。
データ窃取は、多くのフィッシング攻撃の主要な目標の一つです。
サイバー犯罪者は、個人情報、財務記録、ログイン認証情報、知的財産などの機密性が高く価値のあるデータを盗むことを目指しています。

金融詐欺も、個人やビジネスをターゲットにした攻撃において一般的なフィッシング攻撃の目標です。
2019年3月の有名な事件では、犯罪者がAIベースのソフトウェアを使用してCEOの声を模倣し、詐欺的な22万ユーロの転送を試みました。
英国のエネルギー会社のCEOは、ドイツの上司の声を模倣した電話を受け、ハンガリーのサプライヤーへの資金の緊急要請を受けました。

AI専門家はAIによるサイバー攻撃を予測していましたが、この事件はサイバー犯罪におけるAIによるボイススプーフィングの最初の既知の使用を示しました。
この事例は、サイバー犯罪の戦術におけるAIの進化する洗練さを強調しています。

多くの場合、フィッシングサイバーの脅威はこれらの目標を組み合わせて、その影響を最大化します。
たとえば、従業員の企業のメールアカウントをターゲットにしたフィッシング攻撃は、財務的な利益のために機密性の高い企業データを盗みながら、将来のサイバー犯罪のために従業員のアイデンティティを危険にさらすことを目的としているかもしれません。

フィッシングの脅威は進化し続けており、サイバー犯罪者はその目的を達成するためにますます洗練された戦術を使用します。
したがって、個人と組織は警戒を怠らず、強固なサイバーセキュリティ対策を実施し、これらの脅威に対抗して認識し、防御するためにユーザを教育する必要があります。

フィッシングサイバー脅威から身を守る方法

フィッシングの脅威に対して計画することは、フィッシング攻撃の被害に遭うリスクを軽減するための積極的な対策とセキュリティ実践の組み合わせを含みます。
ここでは、それぞれの戦略について詳しく説明します。

従業員の訓練と意識向上

フィッシングメールを認識する
従業員がフィッシングメールを認識する訓練は、防御の第一線として重要です。
彼らは、予期しない送信者のアドレス、一般的な挨拶、スペルミス、普段と違う添付ファイルやリンクなど、怪しいメールの特徴を識別する方法を学ぶべきです。
安全なブラウジングの実践
従業員に安全なブラウジング習慣について教育し、不審なリンクをクリックしないことや、信頼できないソースからファイルをダウンロードしないことの重要性を強調します。
Webサイトやメールソースの合法性を確認する方法についてのガイドラインを提供します。

強力なパスワードポリシー

複雑なパスワードの使用、定期的な変更、容易に推測できる情報の使用を避けることを要求する強力なパスワードポリシーを実施します。
安全に保存し、強力なパスワードを生成するためのパスワード管理ツールの使用を奨励します。

2要素認証(2FA)

可能な限り2要素認証(2FA)の使用を義務付けます。
2FAは、パスワードに加えて、携帯デバイスに送信される一回限りのコードなど、第二の認証要素を提供することを要求することで、セキュリティの追加の層を提供します。

メールフィルタリングとアンチフィッシングツール

従業員の受信箱に届く前にフィッシングメールを検出してブロックできる高度なメールフィルタリングソリューションとアンチフィッシングツールを使用します。
これらのツールは、機械学習やパターン認識を含むさまざまな技術を使用して、怪しいメールを識別します。

定期的なソフトウェアアップデート

オペレーティングシステム、ブラウザ、アプリケーションなど、すべてのソフトウェアを最新のセキュリティパッチで常に更新します。
サイバー犯罪者は、古いソフトウェアの脆弱性をよく悪用します。

人工知能と機械学習の力を活用する

AIとMLを利用して、サイバーセキュリティの防御を強化します。
AIとMLは、フィッシング試みを検出するためのパターン分析、ユーザ行動の異常の識別、新しいフィッシング戦術の認識によるメールセキュリティの向上など、さまざまな方法で役立ちます。
すでにいくつかの企業がサイバーセキュリティの課題に対抗するためにAIを採用しています。

DMARCの実装

DMARC(Domain-based Message Authentication, Reporting, and Conformanceの略)は、メールのなりすましを含む特定のタイプのフィッシング攻撃を防ぐのに役立ちます。
DMARCは、組織がメールドメインを詐欺目的で使用されることを防ぐのを助けるメール認証プロトコルです。
DMARCがフィッシング攻撃を防ぐ方法は次のとおりです。

認証と検証
DMARCは、SPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)という他の2つのメール認証プロトコルを基に構築されています。
SPFは、ドメイン所有者が自分の代わりにメールを送信する許可を与えたメールサーバを指定することを可能にし、DKIMはメールメッセージに暗号署名を施すことを可能にします。
DMARCはこれらの認証メカニズムを使用して、受信メールの真正性を検証します。
ポリシーの実施
DMARCを使用すると、ドメイン所有者は、認証チェックに失敗した場合に自分のドメインからのメールがどのように扱われるべきかについてのDMARCポリシーを指定できます。
彼らは、3つのポリシーレベルの中から選択できます。
  • 何もしない(p=none)
  • 隔離(p=quarantine)
  • 排除(p=reject)
報告とフィードバック
DMARCには、ドメイン所有者がメールの受信者からメール認証結果に関するフィードバックを受け取ることを可能にする報告メカニズムが含まれています。
このフィードバックは、認証失敗のソースと頻度に関する洞察を提供し、組織がメールセキュリティポリシーを微調整するのに役立ちます。

将来のフィッシング脅威に対する予測

進化するサイバーセキュリティの風景の中で、フィッシング攻撃におけるいくつかのトレンドが出現しています。
AIによるフィッシングの脅威は、メールをより説得力があり個人化されたものにするでしょう。
スピアフィッシングは、非常に説得力のあるメッセージで特定の個人をターゲットにする形で、さらに洗練されることになります。

また、SMS(スミッシング)や音声通話(ヴィシング)を介した攻撃の増加も見られるでしょう。
クレデンシャルスタッフィング、および盗まれたクレデンシャルを使用したアカウント乗っ取りも、著しく増加することが見込まれます。
さらに、フィッシングはランサムウェア攻撃への入口として機能し、金融資産と機密情報の不必要な損失につながるでしょう。

まとめ

これらの脅威に対抗するためには、積極的な戦略が不可欠です。
継続的な訓練と意識向上プログラムから、AIによる高度なメールフィルターやアンチフィッシングツールに至るまで、リスクを軽減するためのいくつかの対策が取られ得ます。
議論されたように、メールにDMARCを実装することは、進化するフィッシングの脅威に対抗するための素晴らしい方法ですので、今日私たちに連絡して始めましょう!