なりすまし攻撃とは、正規のユーザーになりすまして情報システムに不正にアクセスしようとする攻撃のことです。
によると セキュリティ・マガジンによると、2020年第1四半期から2021年第1四半期の間に、捕鯨や役員へのなりすましが131%も増加しており、サイバーセキュリティプロの55%が、自分の会社の役員がなりすまされたと回答しているとのことです。これらの攻撃による企業の損失は、昨年だけで18億ドルにのぼります。
この問題は、経営者が受け取る3,226通のメールのうち1通(24日に1回)がなりすましであるというくらい浸透しているのです。
この記事では、なりすまし攻撃について知っておくべきこと、その種類、検出方法、そして組織としての防御方法について説明します。
なりすまし攻撃とは?
なりすまし攻撃とは、ソーシャルエンジニアリングの一種で、攻撃者が他人になりすましたり、正規のユーザー(またはユーザーグループ)になりすましたりして、権限のない情報にアクセスすることをいいます。
この種の攻撃では、攻撃者はしばしばソーシャルエンジニアリングの手法を用いて、IT部門のメンバーを装ってログイン情報を聞き出すなどして、システムやターゲットに関する情報を取得します。
なりすまし攻撃は、対面、電話、オンラインのいずれでも可能です。そして、発見されないと壊滅的な被害を受ける可能性があります。
なりすまし攻撃は、どのように行われるのですか?
なりすましとは、悪意のある行為者が正当なユーザーやサービスになりすまして、保護された情報へのアクセスを試みることです。なりすまし攻撃は簡単に実行でき、攻撃者が取得しようとしているデータの種類によっては、非常に大きな損害を与える可能性があります。
攻撃者は、正規のユーザーやサービスに関する十分な情報を集め、他人を騙して、その人が本人であると思わせるだけでよい。そして、攻撃者は、ターゲット(または複数のターゲット)に、セキュリティ対策によって保護されているはずの機密情報を明らかにさせようとするのです。
多くの場合、攻撃者は電子メールやその他の通信手段を用いて、なりすまし攻撃を試みます。攻撃者は、他人のふりをしてメールを送信します(スプーフィングとして知られています)。このようなメールには、無防備なユーザーのシステムにマルウェアをダウンロードさせるリンクを含むフィッシングメールが含まれることがあります。
これは、経営者や管理者のIDを盗み、従業員に送金やその他の機密情報の提供を指示するメールを送信するものです。このメールは、権威ある人物から発信されているように見えるため、多くの従業員は疑いもなくその指示に従います。
なりすまし攻撃はどのように計画されるのですか?
なりすまし攻撃の計画を立てるために、ハッカーはまずターゲットに関する情報を収集する必要があります。ハッカーは、ソーシャルメディアのプロフィールや企業のWebサイトに掲載されている公開情報などを利用することが多いようです。ハッカーは、これらの情報をもとにリアルなペルソナを作成し、ターゲット企業の従業員とのやり取りを開始します。
ハッカーは、このペルソナに期待されるものに沿った方法で従業員に接触します。ハッカーは、会社の実際の電子メールや電話番号と可能な限り一致する偽のビジネス電子メールアドレスや電話番号を使って、従業員に電子メール、テキストメッセージ、電話をかけることがあります - 違いはありますが、肉眼ではほとんど見えません。
これによって、従業員は組織の中で知られている人物と交流しているという感覚を持つことができるのです。
| メールのなりすましの一例です。 上記のように、2つのメールの違いは微妙で、特に1日に何百通ものメールを受け取っている場合は、見逃しがちです。 |
ハッカーは、従業員の信頼を得ると、会社の正規の送信元と思われる電子メールを送ります。これらのメールには、個人情報を求めるウェブサイトへのリンクや、従業員からのアクション(ファイルのダウンロードなど)を要求するものが含まれていることがよくあります。これらのウェブサイトやファイルは、ハッカーがデータにアクセスしたり、個人情報を盗んだり、会社のネットワークに他のサイバー攻撃を持ち込むことを可能にするマルウェアに感染しています。
このような偽造された送信者アドレスは、厳密な DMARCポリシーを活用することで、なりすまし攻撃からメールを保護することができます。
よくあるなりすまし攻撃の手口
攻撃者は、あなたやあなたの知り合いになりすますために、いくつかの方法をとります。ここでは、一般的な手口をいくつか紹介します。
1.無料メールアカウント攻撃
攻撃者は、フリーメールサービスを利用して、ターゲットが使用しているメールアドレスと類似したメールアドレスからメッセージを送信します。この手口は、悪意のあるウェブサイトを閲覧させたり、マルウェアをダウンロードさせたり、パスワードやクレジットカード番号などの情報を提供させたりするために利用されることがあります。
2.いとこドメイン攻撃
いとこドメイン攻撃では、攻撃者は、お客様の銀行のウェブサイトとほぼ同じ外観のウェブサイトを作成しますが、例えば、末尾が.orgや.netではなく、.comで終わっています。そして、この偽サイトからメールを送り、そのメールにあるリンクをクリックすると、本物の銀行のサイトではなく、偽サイトに移動してしまうのです。
3.偽造エンベロープ送信者攻撃
攻撃者は、"[email protected] "のような既知の会社から来たように見える送信者アドレスのメールを作成します。このアドレスは正規のものに見えるため、ほとんどのメールサーバーのフィルターを通過してしまいます。そして、攻撃者は、被害者をターゲットにして、リンクをクリックさせたり、添付ファイルを開かせたりして、マルウェアが被害者のコンピュータに感染するように誘います。
4.偽造ヘッダー送信者攻撃
ヘッダー送信者攻撃とは、電子メールのなりすましの一種で、メッセージが本当の送信元以外の誰かによって送信されたと信じ込ませるために使用されることがあります。この種の攻撃では、電子メールのヘッダーの「送信者」フィールドが、メッセージを送信した実際のものとは別のアドレスを含むように変更されます。これは、「From:」または「Return-Path:」フィールドのどちらか、あるいは両方を変更することによって行われます。このような攻撃の目的は、仕事仲間や友人など、他人が送ったように見せかけ、受信者が知っている人からのメッセージを開封するように仕向けることです。
5.電子メールアカウントへの攻撃
この攻撃では、攻撃者が正規の電子メールアカウントにアクセスし、そのアカウントを使用して、組織内の他の人に電子メールやメッセージを送信します。攻撃者は、特別な知識や権限を持つ従業員を名乗ったり、特別な知識や権限を持つ別の人物になりすましたりすることがあります。
6.CEO不正攻撃
この攻撃では、攻撃者は企業のCEOになりすまし、従業員や顧客に機密情報へのアクセスが必要であると信じ込ませようとします。攻撃者は、しばしばフィッシングメールや電話など、ソーシャルエンジニアリングの手法を用いて、あたかも企業のIT部門から電話がかかってきているかのように見せかけます。また、パスワードやクレジットカード番号などの機密情報を要求する一方で、より合法的で信頼できるように、貴社の業界や業務に特化した言語を使用することがよくあります。
7.マンインザミドル(MITM)攻撃
この種の攻撃は、攻撃者がお客様の通信を正規のサービスで傍受し、お客様からの通信であるかのように正規のサービスへ中継するものです。このようにして、攻撃者はお客様の通信を盗聴したり、通信を変更したり、通信を完全に阻止したりすることができます。
なりすまし攻撃を見分けるには?
切迫感。攻撃者は、メールに緊急性を持たせることで、受信者にすぐに行動するよう促します。(例えば、すぐに電信送金を開始しなければ、アカウントが永久にブロックされます)。これにより、被害者は何も考えずに行動を起こすよう圧力をかけられます。
守秘義務。攻撃者は、要求している情報を非公開にするよう指示し、その情報が公開されると重大な結果につながることを暗示することがあります。
機密情報の共有要求攻撃者は、口座番号やパスワードなど、銀行しか知らないような情報を要求してくることがあります。また、あなただけがアクセスできる個人情報である会社の認証情報を共有するように要求されることもあります。このような場合、攻撃者はあなたの会社のデータベースにアクセスし、機密情報を漏えいする可能性があります。
改変された電子メールアドレス例えば、「Amazon」を装った人物からログインやアカウント情報の更新を促すメールが届いたが、そのメールアドレスが実は「[email protected]」だった場合、これはなりすまし攻撃の可能性があります。
粗悪なメール。 フィッシングメールは、通常、大量に作成されるため、スペルや文法の間違いが多く、お粗末な文章で書かれています。
悪意のあるリンクや添付ファイルがあること。 悪意のあるリンクや添付ファイルは、なりすまし攻撃を行うための一般的な方法です。この種の攻撃は、その存在によって識別することができます。
- 現在のタブではなく、新しいタブで開くリンク。
- 奇妙なタイトルやファイル拡張子("attachment "や".zip "など)を持つ添付ファイル。
- 実行ファイル(.exeなど)が含まれる添付ファイル。
なりすましから身を守るために
1.企業は、この種の攻撃から身を守るために、サイバーセキュリティのトレーニングが不可欠であることを認識する必要があります。トレーニングの内容は以下の通りです。
- 攻撃者がユーザーになりすまし、システムにアクセスする方法
- なりすましのサインを見逃さず、被害が拡大する前に対処する方法
- 二要素認証のような予防的コントロールが、あなたになりすまそうとする人物による不正なアクセスの試みを防ぐ方法
2.また、会社の電子メールドメインは、なりすまし攻撃から保護する必要があります。これは、組織内で新しいドメインやアカウントを登録する際に厳格なポリシーを設け、また、必要に応じて削除できるように、それぞれのドメインにアクセスできる人を記録しておくことを意味します。
3.ビジネス用のメールアカウントを作成するときは、必ずビジネス専用のドメインを使用してください。gmail」や「@yahoo」は一般的すぎて、なりすましに使われる可能性があるからです。その代わり、「@yourbusinessnamehere.com」のように、「yourbusinessnamehere」の代わりにあなたの会社名を使うようにします。そうすれば、誰かが別のメールアドレスからメールを送ってあなたになりすまそうとしても、あなたのビジネスにふさわしいドメイン名を知っているため、誰も信じないでしょう。
4.企業は、以下のようなメールセキュリティソリューションの導入を検討する必要があります。 DMARCアナライザーを導入し、なりすましドメインによる疑わしい添付ファイルやリンクのあるメール(フィッシングメールなど)の配信を認証でブロックすることを検討する必要があります。
なりすましから24時間365日保護したいですか? PowerDMARCはメール認証ソリューションプロバイダーです - 企業がメール通信を安全に行えるようにすることを目的としたサービスを提供しています。サイバー犯罪者やフィッシャーによるなりすましから保護しながら、許可された送信者からのメールのみが安全なゲートウェイを通じて配信されるようにすることで、お客様のドメインの評判を管理するお手伝いをします。
- DMARCは無料か?- 2022年6月23日
- Google Calendarの招待状に対する返信がDMARCでブロックされる件- 2022年6月22日
- トラステッドアークシールとは?- 2022年6月22日
