小売・卸売業界へのフィッシング攻撃が400%以上増加 : Zscaler フィッシング攻撃に関する2022年度版レポートを発表
●フィッシング攻撃が前年比29%増加し、昨年Zscalerクラウドで観測された攻撃は8億7,390万件という驚異的な数字
●最も標的とされた小売・卸売業界では、過去12か月でフィッシング攻撃が400%以上増加
●フィッシング詐欺で最も標的にされた国は米国で、その次に高頻度で狙われたのは、シンガポール、ドイツ、オランダ、イギリス
●エンドユーザが不審なメールに警戒感を示すようになっている中、SMSフィッシングなど、新たなフィッシングの攻撃ベクトルが他の手法よりも速く増大
●増大するフィッシング行為は、犯罪者にとっての技術的参入障壁を下げる、構築済みの攻撃ツールの市場が形成されているPhishing-as-a-Serviceの手法と直接関連
クラウドセキュリティ業界を牽引するZscaler(本社:米国カリフォルニア州、以下 ゼットスケーラー、https://www.zscaler.jp/)は5月12日、ゼットスケーラーの調査チームである「ThreatLabZ(読み方:スレットラボ・ゼット)」による調査レポート「2022 ThreatLabz Phishing Report(2022年度版ThreatLabzフィッシングレポート)」(日本語版)(https://info.zscaler.com/resources-industry-report-threatlabz-state-of-phishing-report-jp)を発表した。本レポートでは、ゼットスケーラーのセキュリティクラウドから取得した12か月のグローバルフィッシングデータを検証し、主要トレンド、リスクにさらされている業界や地域、新たな手口を浮き彫りにした。FBIの米国インターネット犯罪苦情センター(IC3)によると、サイバー攻撃手法の中でも、フィッシングは最も高頻度で報告されている攻撃である。
ThreatLabZは、1日あたりで2,000億以上のトランザクションと1億5000万以上のブロックされた攻撃データを分析し、世界中にはびこる新しい脅威の特定と、悪意のある攻撃者の追跡を試みた。本レポートでは、フィッシング攻撃が前年比で29%も増大し、小売および卸売企業が特にその影響を受けていることが判明している。また、Phishing-as-a-Serviceの利用が増加していることや、SMSフィッシングなどの新しい攻撃ベクターが侵害の一般的手法の1つとして定着しつつあることも明らかにしている。
ゼットスケーラーのCISO兼セキュリティリサーチおよびオペレーション担当バイスプレジデントであるDeepen Desai(ディーペン・デサイ)は次のように述べている。「Phishing-as-a-Serviceの増加で、技術レベルの低い攻撃者でも従来に増して簡単に攻撃を成功させることができるようになっていることから、フィッシング攻撃は驚くべき頻度、複雑さ、範囲で組織や消費者に影響を与えています。本レポートでは、ランサムウェアの拡散や機密データの詐取を目的とするサイバー犯罪者が、世界中の組織を侵害する際の足掛かりとして、フィッシング攻撃の利用を拡大していることに注目しています。組織が高度なフィッシング攻撃に対抗するためには、フィッシングやフィッシングキットを防御するSSLフルインスペクションに人工知能(AI)/機械学習(ML)を活用した検知機能を統合したクラウドネイティブなゼロトラストプラットフォームを軸とする、多角的な防御戦略が必要となります。合わせて、侵害されたユーザからの攻撃拡大を最小限に抑えるラテラルムーブメント防止機能や、統合されたデセプション機能、犯罪者に悪用されがちな新規登録ドメインといったリスクの高い対象をブロックするプロアクティブ制御、そしてデータ漏洩を防止するインラインDLPを利用しなければなりません」。
フィッシングは常に、最も蔓延するサイバー脅威の1つであり、個人情報を盗むためにさまざまな手法で利用されている。この種の攻撃が年々増加している理由の1つは、攻撃しやすいことがあげられる。サイバー犯罪者は、新型コロナウイルスのパンデミックや仮想通貨などの時事問題を悪用し、標的が気づかぬうちにパスワード、クレジットカード情報、ログイン認証情報などの機密性の高いデータを流出させようとしている。
本レポートでは、フィッシング攻撃者が有名ブランド企業を装うことや、話題のイベントを宣伝する手口で、被害者から個人情報を取得しようとすることが明らかになっている。2021年のフィッシングで最も利用されたテーマには、「生産性向上ツール」「違法ストリーミングサイト」「ショッピングサイト」「ソーシャルメディアプラットフォーム」「金融機関」「物流サービス」などが挙げられる。
■フィッシング攻撃の増加は世界規模で問題に
2021年、世界で最も標的にされた国は米国で、ゼットスケーラーのクラウドセキュリティがブロックしたすべてのフィッシング攻撃のうちの60%以上を占めている。その次に高頻度で標的にされた国は、シンガポール、ドイツ、オランダ、イギリスの順に続く。
フィッシング攻撃者の関心は、すべての国が同等に対象となっているわけではない。たとえば、オランダではフィッシング攻撃が前年比で38%減少しているが、これは、インターネット詐欺の罰則を強化する法案が最近可決されたことが原因である可能性がある。
また、フィッシング攻撃は、業界にかかわらず一様に影響を及ぼしているわけではない。小売・卸売業ではフィッシング攻撃が昨年度日で400%以上増加している。これは、追跡対象の業界の中で最多の検知数となった。これに続くのは金融および政府機関で、平均で100%以上の攻撃の増加が見られる。ただ、昨年にフィッシング攻撃の部分的な減少が見られた業界もある。ヘルスケア部門では59%も減少しており、サービス業界では33%の減少が見られている。
■拡大する脅威、Phishing-as-a-Service
これまで長い間、フィッシングは巧妙な脅威アクターがサイバー攻撃で使用する一般的な手法の1つであった。現在、サイバー犯罪者は、構築済みのフィッシングツール、サービスをダークウェブで販売することで、フィッシング詐欺の大規模な展開を容易にしている。技術を持たないサイバー犯罪者でもフィッシングのサービスを購入し、利用できるようになりつつあり、2022年におけるフィッシング詐欺の発生を助長している。
■フィッシング攻撃への対抗
ThreatLabZの調査チームによると、平均的な規模の組織は、数十件のフィッシングメールを毎日受信している。そのため、あらゆるレベルの従業員が、最も一般的なフィッシング手法について把握し、経済的損失やビジネスブランドの毀損につながりかねないフィッシング攻撃を特定できるだけの力を持つ必要がある。
本レポートで示されている脅威に立ち向かうことは容易ではなく、フィッシングのリスクを完全に排除することは不可能だが、効果的な管理でビジネス上の重要情報がサイバー犯罪者の手に渡ることを防止することは可能。推奨事項はいくつもあるが、ゼットスケーラーは拡大するフィッシング攻撃に対抗するために、以下の戦略を提案している。
- フィッシングに伴うリスクを学習、把握し、方針やテクノロジーに関する決定に役立てる
- 実用的な脅威インテリジェンスや自動化されたツールを活用し、フィッシング攻撃の被害を軽減するために必要なツールを従業員に与える
- 従業員のセキュリティ意識を向上させ、ユーザへの報告を促進するために、適切なタイミングで従業員トレーニングを提供
- フィッシング攻撃のシミュレーションを行い、セキュリティポリシーや手順におけるギャップを特定する
- セキュリティ基盤を評価し、最新のリサーチやシステムの機能にアクセスできることを確認する
■Zscaler Zero Trust Exchangeでどのようにフィッシング攻撃を軽減できるのか
アカウント侵害は、対抗することが最も難しいセキュリティ課題の1つ。ゼットスケーラーのクラウドセキュリティプラットフォーム「Zscaler Zero Trust Exchange」では、フィッシング防止の管理機能がゼロトラストに基づいて構築されたクラウドネイティブなプラットフォームに組み込まれており、攻撃の各段階を妨害して被害を最小化することが可能である。Zero Trust Exchangeの主な機能は次の通り。
- スケーラブルなSSLフルインスペクション、ネイティブに統合された脅威インテリジェンスとシグネチャ型のIPS、新手のフィッシングサイトのAI/MLを活用したフィッシング検知、さらには、新しく登録された、または、観測されたドメインなど、フィッシングでよく使用されるリスクの高いURLのカテゴリをポリシーベースで定義することにより、侵害を防止します。
- ユーザを企業ネットワークではなくアプリケーションと直接接続させ、脅威のラテラルムーブメントを防御することで、攻撃者の侵入拡大を制限します。
- アプリケーションのインライン検査と統合されたデセプション機能で侵害されたユーザや内部脅威を停止し、攻撃者を欺き検出します。
- 移動中および保存中の両方のデータを検査することで、悪意を持った攻撃者によるデータ損失を防止します。
「2022 ThreatLabz Phishing Report(2022年度版ThreatLabzフィッシングレポート)」(日本語版)はhttps://info.zscaler.com/resources-industry-report-threatlabz-state-of-phishing-report-jpから確認できます。
