メールフィッシングは、ゲーマーがいたずらメールを送ることから始まり、世界中のハッカーにとって非常に有益な活動となっています。

実際、90年代前半から半ばにかけて、AOLは初めて大規模な電子メールによるフィッシング攻撃を経験しました。ランダムなクレジットカード発行機を使ってユーザーの認証情報を盗み出し、それによってハッカーはAOLの全社的なデータベースに広くアクセスできるようになった。

これらの攻撃は、AOL社がさらなる被害を防ぐためにセキュリティシステムをアップグレードしたため、停止しました。その後、ハッカーたちは、現在も広く利用されている「なりすまし」を利用した、より高度な攻撃を行うようになりました。

最近では、ホワイトハウスやWHOが被害を受けた「なりすまし攻撃」がありましたが、これは、どのような企業でもいつかはメール攻撃を受ける可能性があることを示しています。

Verizonの「2019 Data Breach Investigation Report」によると、2019年に経験したデータブリーチのうち、約32％にメールフィッシングとソーシャルエンジニアリングがそれぞれ含まれていました。

そこで今回は、さまざまなタイプのフィッシング攻撃と、それらが今日のビジネスにとって大きな脅威となっている理由についてご紹介します。

さあ、始めましょう。

1.メールのなりすまし

電子メールスプーフィング攻撃とは、ハッカーが電子メールのヘッダーや送信者アドレスを偽造して、信頼できる人物からのメールであるかのように見せかける攻撃です。このような攻撃の目的は、受信者を誘導してメールを開かせ、場合によってはリンクをクリックさせたり、攻撃者との対話を開始させたりすることにあります。

これらの攻撃は、従来のハッキング手法ではなく、ソーシャルエンジニアリング技術に大きく依存しています。

一見、地味でローテクなサイバー攻撃に見えるかもしれません。しかし、実際には、無防備な従業員に送られた説得力のある電子メールを使って人々をおびき寄せる、極めて効果的な方法なのです。ソーシャルエンジニアリングは、システムのセキュリティインフラの欠陥ではなく、ヒューマンエラーの必然性を利用しています。

見てみてください。

2019年9月、トヨタはメール詐欺で3700万円を失った。

ハッカーは、電子メールアドレスを偽装し、金融機関の権限を持つ従業員に電子送金のための口座情報を変更するように仕向けました。

結果として、会社に多額の損失をもたらした。

2.ビジネスメールの不正アクセス（BEC

FBIの「2019年インターネット犯罪報告書」によると、BEC詐欺の被害額は170万ドルを超え、2019年に経験したサイバー犯罪被害の半分以上を占めています。

BECとは、攻撃者が企業の電子メールアカウントにアクセスし、そのアカウントの所有者になりすまして、企業やその従業員に損害を与える目的で使用されるものです。

これは、BECが非常に利益率の高いメール攻撃であり、攻撃者に高い利益をもたらすため、今でも人気のあるサイバー脅威となっているからです。

コロラド州のある町では、BEC詐欺により100万ドル以上の損害が発生しました。

襲撃者は、地元のウェブサイトにあるフォームに記入し、地元の建設会社に、現在町で行っている仕事の代金を、通常の小切手ではなく電子マネーで受け取るよう依頼しました。

従業員がフォームを受け取り、支払い情報を更新した結果、攻撃者に100万ドル以上のお金が送られてしまいました。

3.ベンダーメールコンプロマイズ(VEC)

2019年9月、日本経済新聞社は日本最大の報道機関が2900万ドルの損失を出した。

日本経済新聞社のアメリカ支社の社員が、経営陣を装った詐欺師の指示でお金を振り込んだのです。

VEC攻撃とは、ベンダー企業の従業員を危険にさらすメール詐欺の一種です。例えば上記の例のように。そしてもちろん、その企業に莫大な経済的損失をもたらしました。

メールフィッシングとは？

フィッシングとは、ソーシャルエンジニアリングの一種で、詐欺師がメールを送り、人々を騙して機密情報を提供させようとするものです。フィッシングメールは、銀行、政府機関、会社など、信頼できる組織や個人から送られてくるように見せかけることがよくあります。

電子メールによるフィッシングは、人々がオンラインで過ごす時間が長くなり、物理的な郵便物を読む時間が少なくなったため、より一般的になってきています。そのため、詐欺師が電子メールで被害者に接触することが容易になっています。

フィッシングの見分け方は？

もし、あるメールが本物かどうかわからないときは、いくつかの方法で確認することができます。まず、送信者のアドレスを見てください。その企業や政府機関からの公式な連絡によく見られるものと一致しない場合、おそらく正規のものではありません。

また、メールの件名や本文にスペルミスがないか、あるいは偽メールである可能性を示すその他の警告サインがないかチェックする必要があります。例えば、誰かがあなたのアカウントに関する「情報」を持っていると主張するメールを送ってきたにもかかわらず、「information」のスペルを「infomation」と間違えていた場合、これは彼らが自分でメールを書いておらず、何を言っているのかわからないというサインかもしれません！さらに、一括メール検証ツールを使えば、複数のメールを素早く検証し、フィッシングの可能性を特定することができます。

DMARCでメールフィッシングを防ぐには？

世界中の企業が、上に挙げたような例を抑えるために、サイバーセキュリティの予算を増やしています。IDCによると、セキュリティソリューションに対する世界の支出は、2022年に1,337億ドルに達すると予測されています。

しかし実際のところ、DMARCのような電子メール・セキュリティ・ソリューションの普及は遅れている。

DMARC技術は2011年に登場し、世界中の企業にとって脅威となっている標的型BEC攻撃の防止に効果を発揮しています。

DMARCはSPFとDKIMの両方で動作し、認証されていない電子メールに対してどのようなアクションを取るべきかを決定し、ドメインの完全性を保護することができます。

続きを読む:DMARCとは？

それぞれのケースに共通しているのは、「視認性」です。

この技術は、電子メールによるフィッシング行為がビジネスに与える影響を軽減することができます。その方法をご紹介します。

可視性の向上。DMARCテクノロジーは、ビジネス全体のメールアクティビティに関する詳細な洞察を提供するレポートを送信します。PowerDMARC は強力な脅威インテリジェンスエンジンを使用しており、なりすまし攻撃のリアルタイムアラートを生成します。これは完全なレポーティングと連動しており、ユーザーの履歴をより詳細に把握することができます。
メールのセキュリティが強化されます。なりすましやフィッシングの脅威がないか、自社のメールを追跡することができるようになります。PowerDMARCは、24時間365日体制のセキュリティオペレーションセンターを設置しています。PowerDMARCは、24時間365日体制のセキュリティ・オペレーション・センターを設置しており、メールを悪用するドメインを即座に削除することができるため、ビジネスのセキュリティレベルを向上させることができます。
世界中でCOVID-19パンデミックが発生していますが、これはハッカーが脆弱なセキュリティシステムを利用する機会を広く提供しているに過ぎません。

ホワイトハウスとWHOに対する最近のなりすまし攻撃は、DMARC技術の使用拡大の必要性を如実に示しています。