エグゼクティブフィッシング攻撃 - 実践的な洞察と予防戦略
役員になりすましたメールによる攻撃:エグゼクティブフィッシングの脅威と対策
2023年12月18日
著者: Ahona Rudra
翻訳: 竹洞 陽一郎
この記事はPowerDMARCのブログ記事 Executive Phishing Attacks – Practical Insights & Prevention Strategies の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
非常に巧妙なエグゼクティブフィッシング攻撃は、会社のセキュリティを侵害する最も効果的でコスト効率の良い方法の一つです。
役員はメールや電話で誘惑されることがありますが、結果はほぼ常に同じです。
エグゼクティブフィッシング攻撃は、あらゆる種類の企業にとって大きな懸念事項です。
それは、組織が2016年から2021年までに約430億ドル(6兆4500億円)を失った主要な理由の一つです。
この記事では、エグゼクティブフィッシングの定義、なぜそれが大きな脅威となるのか、そして次の被害者にならないための方法について議論します。
エグゼクティブフィッシングとは何か?
エグゼクティブフィッシングは、CEOやCFO、その他の高位の役員など、高レベルのエグゼクティブや上級意思決定者を狙うサイバー犯罪です。
フィッシング攻撃では、役員の名前、メール署名、その他の詳細がしばしば使用され、メッセージが正当なもののように見えるようにします。
2020年には、CEO詐欺やランサムウェアのようなサイバー犯罪による被害額は41億ドルを超え、2019年から2020年にかけて報告された事件数は69%増加し、79万1000件を超えました。
残念ながら、これらのサイバー脅威は減少しているわけではなく、悪化しています。
この手口は、被害者が自分の組織内の誰か、または他の信頼できる情報源からメールを受け取っていると思い込むように設計されています。
エグゼクティブフィッシング攻撃には、通常、自組織内の従業員からの巧妙に作成されたメールが含まれますが、組織外の誰かからのメールも含まれることがあります。
これらのメールには、会議のアジェンダや間近に迫った契約に関する情報など、間近に控えた会議に関する情報がしばしば含まれています。
攻撃者は、機密情報へのアクセス権を持つ信頼できる従業員を装って、企業ネットワーク上に保存された機密データへのアクセスを試みることもあります。
エグゼクティブフィッシングの目的は、パスワード、機密文書、ログイン情報などの機密データを盗むことです。
攻撃者は、これら盗まれた認証情報を使用して企業リソースにアクセスし、機密情報へのアクセスを得ることになります。
なぜフィッシング攻撃は役員を狙うのか?
役員を狙うことで、ハッカーはダークWebで売買されるか、被害者の会社に対する恐喝材料として使用される可能性のある貴重な情報にアクセスできます。
Cレベルの役員は通常、財務データ、個人識別情報(PII)、その他の機密業務文書などの機密データにアクセスできるため、これらのデータをいかなる手段を使ってでも取得しようとするフィッシング攻撃の主要なターゲットとなることがあります。
エグゼクティブフィッシング攻撃の例
エグゼクティブフィッシングのメールの例は、以下の画像で見ることができます。
エグゼクティブフィッシング攻撃の主要なタイプ
以下は、エグゼクティブフィッシング攻撃の主要なタイプです。
- ビジネスメール妨害(BEC)攻撃
-
BEC攻撃は、CEOやその他の上級役員のメールを偽装し、金銭の振り込みを要求することで彼らを狙います。
BEC攻撃者は、偽の会社ロゴと偽装された送信者アドレスを使用した詐欺メールを送り、受信者がそれらを本物だと信じ込むように騙します。 - 請求書攻撃
-
この攻撃は、正当に見えるが誤りや不一致を含む偽の請求書を作成することで、企業から金銭を盗むことを目的としています。
攻撃者は、これらの請求書に対して銀行振り込みや他の支払い方法を使用して支払いを要求します。
これらの支払い方法は検証に時間がかかることがあります。 - ビデオ通信プラットフォームの悪用
-
この攻撃では、ハッカーがビデオ通信プラットフォームを悪用して役員を偽装します。
例えば、Google Hangoutsを使用してCEOを偽装し、機密情報を要求することがあります。
ハッカーはまた、従業員にメールを送り、財務部門の誰かとビデオ通話で会うことを示します。彼らはアプリをダウンロードし、ログイン情報を入力するよう指示します。 - ソーシャルエンジニアリング
-
ソーシャルエンジニアリングは、ユーザを騙してパスワード、社会保障番号、その他の機密情報を明かさせることにより、機密情報やデータへのアクセスを目的として使用されます。
攻撃者はしばしば、あなたの組織内のIT部門や他の部門からであるふりをし、通常のビジネス慣行では正当化されないこのリクエストに基づいて、あなたのコンピューターやネットワークリソースへのアクセスを求めます。
エグゼクティブフィッシング対ホエーリング
エグゼクティブフィッシングとホエーリングの両方が、高位の人材を狙ったサイバー攻撃であることを覚えておいてください。
ホエーリングはより専門的な変種です。これらの脅威に対する防御には、適切なサイバーセキュリティ対策と従業員のトレーニングが不可欠です。
エグゼクティブフィッシングとホエーリングの違いを見てみましょう。
| 項目 | エグゼクティブフィッシング | ホエーリング |
|---|---|---|
| ターゲット | エグゼクティブフィッシングは、企業内の高位役員を対象とします。 | ホエーリングは、CEOやCFOなどの最高位の役員に焦点を当てます。 |
| 目的 | エグゼクティブフィッシングは、不正アクセスの取得、データの盗難、またはログイン情報の取得を目指します。 | ホエーリングは、高位の役員から機密情報や資金を抽出することを目的とします。 |
| 攻撃タイプ | エグゼクティブフィッシングは、役員を特定して行動を促すフィッシング攻撃です。 | ホエーリングは、最も影響力のある個人を狙った特化したスピアフィッシングです。 |
| なりすまし | エグゼクティブフィッシングでは、攻撃者が上級役員や同僚になりすましてターゲットを欺きます。 | ホエーリングでは、高位の役員になりすましてその高い権限を悪用します。 |
| 準備 | エグゼクティブフィッシングでは、ターゲットの役割、コミュニケーションスタイル、関連情報についての調査が一般的です。 | ホエーリングの実行者は、ターゲットの役員と会社の環境について徹底的な調査を行います。 |
| メールの内容 | エグゼクティブフィッシングのメールは公式のコミュニケーションを模倣します。緊急性を感じさせたり、機密事項に言及することが多いです。 | ホエーリングのメールは、ターゲットの地位と責任に合わせてカスタマイズされた個人的なメッセージを含みます。 |
| ソーシャルエンジニアリング | エグゼクティブフィッシングは、権力のダイナミクス、緊急性、または好奇心を悪用して、ターゲットが行動を起こすよう操作します。 | ホエーリングは、高位のアクセスと権限を悪用して、ターゲットの信頼と従順を操作します。 |
| 内容 | エグゼクティブフィッシングでは、悪意のあるリンク、添付ファイル、または情報の要求が一般的な内容です。 | ホエーリングの内容は、機密データ、金融取引、またはその他の貴重な資産を求めます。 |
| 影響 | エグゼクティブフィッシングの影響は、アカウントの侵害、データ漏洩、金銭的損失に及ぶことがあります。 | ホエーリングの影響は重大であり、組織に対して大きな財政的および評判のダメージを与える可能性があります。 |
| 対策 | エグゼクティブフィッシングに対する対策には、従業員のトレーニング、アンチフィッシングツールの使用、注意深いメールの実践が含まれます。 | ホエーリングに対する防御には、セキュリティ意識のトレーニング、高度な脅威検出、および強力な認証方法が含まれます。 |
| 事例 | エグゼクティブフィッシングの事例には、役員に送られた金銭の振り込みやデータ共有の偽の要求が含まれます。 | ホエーリングには、高位の役員に送られる、悪意のある意図や欺瞞的な要求を伴うターゲットメールが含まれます。 |
エグゼクティブフィッシング攻撃への防御と緩和策
以下のセキュリティ対策は、あなたの組織をエグゼクティブフィッシングから守るのに役立ちます。
- DMARCの実装
- DMARCは組織が自社のドメインの使用状況を報告し、ISPや他のメールプロバイダがそのドメインからの詐欺メッセージを見た際に適切な行動をとるのを助けます。
- セキュリティ意識トレーニング
-
セキュリティ意識トレーニングは、従業員が問題になる前に潜在的な脅威を特定するのに役立ちます。
セキュリティ意識トレーニングは、メールの内容、送信者、件名に基づいて怪しいメールを特定する方法を人々に教えます。
また、これらのメールをどのように報告するかも従業員に教えることで、攻撃の被害者にならないようにします。 - 多要素認証(MFA)
- 多要素認証(MFA)は、ユーザがアクセスを得る前に、電話に送信されたコードを入力するか、物理デバイスで生成されたコードを入力することを要求することで、セキュリティの別の層を追加します。
- メールフィルタリングとアンチフィッシングツール
-
防御の第一線は、フィッシングメールをフィルタリングするメールフィルタリングソフトウェアを使用することです。
このソフトウェアを使用すると、ユーザはどのメールアドレスを疑わしいと見なすべきかを定義し、それらを自動的に拒否することができます。
また、偽装されている正当なメールを特定し、それらや悪意のある可能性のある添付ファイルを自動的に拒否するのにも使用できます。 - 定期的なソフトウェアアップデートとパッチ管理
-
特にブラウザ、オペレーティングシステム、サードパーティのアプリケーションなど、すべてのソフトウェアを最新の状態に保ちます。
これには物理的および仮想マシンの両方が含まれます。
パッチには、既にシステムを侵害している攻撃者が悪用可能な脆弱性に対するセキュリティ修正が含まれることが多いです。
まとめ
最も一般的なフィッシングの形態ではないものの、この種の攻撃は個人やビジネスに悪影響を及ぼす可能性があります。
知らない人からのメッセージや、すぐには実際にはあり得ないような状況についてのメッセージを受け取った場合、送られてくるファイルを急いで開かないでください。
あなたはエグゼクティブフィッシング攻撃の犠牲者になっている可能性があり、その場合は、自分自身を守るために私たちのアドバイスに従うべきです。