エグゼクティブフィッシングは、あらゆる規模の組織にとってサイバーセキュリティ上の最大の懸念です。企業ユーザーは、2016年から2021年の間にエグゼクティブフィッシングにより、430億ドル(米ドル)以上の損失を経験しました。上級管理職になりすました誰かからメールを受け取ったことがあれば、この種のサイバー攻撃の危険性と有効性が分かります。エグゼクティブフィッシングは、機密情報にアクセスしたり、電信送金詐欺をしかけたりするためにハッカーが使用する攻撃方法として、ますます一般的になっています。
この記事を読んで、エグゼクティブフィッシングの脅威と、この種の攻撃から組織が侵害されるのを防ぐ方法を学びましょう。
エグゼクティブフィッシングとは何か?
CEO詐欺としても知られるエグゼクティブフィッシングは、ハッカーが上級管理職になりすまし、従業員をだまして機密情報を漏洩させたり、資金を電信送金させたりするサイバー攻撃の一種です。このスピアフィッシング攻撃では、サイバー犯罪者は、攻撃の有効性を高めるために切迫感を出すなどのソーシャルエンジニアリング手法を用います。
ホエーリングとは何か?
エグゼクティブフィッシング攻撃は、上級管理職を装って従業員を標的にしますが、ホエーリングは、脅威アクターが正当な企業やパートナーを装って上級管理職を標的にする攻撃です。典型的なホエーリング攻撃では、脅威アクターは経営幹部を標的にして、電信送金をするように仕向けたり、機密情報を入手したりします。標的にした個人に関するパーソナライズされた情報を使って、ハッカーは、マルウェアが混入されたフィッシングリンクや添付ファイルを送信して、被害者から情報を抽出したり、システムを侵害したりします。
エグゼクティブフィッシングによる損失
ハッカーが技術と攻撃に磨きをかける中、組織はサイバーセキュリティ体制を強化するために、エグゼクティブフィッシング攻撃に対してますます責任を負わなければなりません。このサイバー脅威は、被害者に重大な経済的損失をもたらす可能性があります。
経済的損失に加えて、エグゼクティブフィッシング攻撃は、次のような他の悪影響をもたらす可能性があります。
- ログイン認証情報の侵害
- 会社の機密情報の暴露
- 機密データを入手したことによるハッカーからの恐喝
- システムやデバイスの感染
要するに、エグゼクティブフィッシング攻撃を放置しておくと、大きな犠牲を払うことになる可能性があります。そのため、組織はエグゼクティブフィッシング攻撃の一般的な種類とそれらを検出する方法を理解することが必要です。
2つの一般的なエグゼクティブフィッシング攻撃とそれらを見分ける方法
エグゼクティブフィッシング攻撃は、さまざまな形式や手法を用いて、あらゆる規模の組織を標的にします。さまざまな種類のエグゼクティブフィッシング攻撃と、それぞれで用いられる手法を理解することで、ビジネスが悪用されるのを防げます。ここでは、脅威アクターが使う最も一般的なエグゼクティブフィッシング攻撃を2つ紹介します。
フィッシング攻撃
フィッシング攻撃は、被害者を悪用するために広範囲にしかけられます。フィッシング攻撃は、一流の大手ブランドになりすまし、通常、メールやメッセージを多数の個人ユーザーに送信することで展開されます。スピアフィッシング攻撃に比べて標的が絞られていないフィッシングキャンペーンは、通常、被害者を無差別に標的にします。最終的に、脅威アクターが、1人または複数のユーザーから機密情報を入手できれば、フィッシング攻撃は成功したことになります。
スピアフィッシング攻撃
フィッシングキャンペーンが多数の個人を悪用しようとするのに対し、スピアフィッシング攻撃は特定の個人を侵害しようと試みます。脅威アクターは、オンラインの情報源から個人に関する情報を可能な限り収集し、標的のユーザーにパーソナライズされたメールを送信します。フィッシング攻撃とは異なり、これらのメールのやり取りには悪意のあるリンクや添付ファイルが組み込まれていないため、検出はより困難です。
多くの場合、スピアフィッシング攻撃は金銭的な動機に基づいており、被害者を悪用して他者に見られては困る情報を漏らさせたり、金銭的損失やデータ侵害、アカウントの侵害などにつながる可能性のある特定の処理を実行させたりすることを目的としています。
エグゼクティブフィッシングを防ぐ方法
エグゼクティブフィッシング攻撃から保護するには、適切なプロセスとツールが必要です。ここでは、エグゼクティブフィッシング攻撃から保護するために組織が採用すべきベストプラクティスをいくつか紹介します。
エグゼクティブフィッシングを見分けられるように従業員をトレーニングする
エグゼクティブフィッシング攻撃は、多くの場合、類似の戦術に依存しているため、判別しやすくなります。プレテキスティング(対象とする被害者との信頼関係を築くためのソーシャルエンジニアリングスキーム)もその1つで、切迫感やそれ以上の感覚を生み出します。この種のメールに気づいて適切に処理できるように従業員をトレーニングすることで、攻撃が成功する可能性を最小限に抑えられます。
ユーザーの認識トレーニングは依然として重要な保護手段ではありますが、すべてのプログラムが同等のメリットを提供するわけではありません。最善の結果を導くために、教室での指導と一般的なシミュレーションを、パーソナライズされ、自動化されたフィッシングトレーニングに置き換えましょう。
DMARCでスパムを最小限に抑える
Domain-based Message Authentication, Reporting and Conformance (DMARC)は、不要な関係者がスパムやフィッシングメールを組織に送信するのを防ぐことができるメール認証プロトコルです。これにより、企業はDMARCポリシーをドメインネームシステム(DNS)レコードに公開できるようになるため、他の2つの認証プロトコル(センダーポリシーフレームワーク(SPF)とドメインキー認証メール(DKIM))に失敗したメールの処理方法に関する方針を固められます。
AIによる脅威の検出と対応テクノロジーを採用する
サイバー脅威は絶えず進化します。ハッカーが新しい手法を導入するにつれて、組織にはそれに対応するための保護が必要になります。
従来のメールセキュリティソリューションとは異なり、AIによる脅威検出および対応ソリューションは、エグゼクティブフィッシングの脅威を検出して無力化します。すべてのソリューションが同等の価値を提供するわけではありませんが、スピアフィッシング対策機能を提供するソリューションは、自然言語処理アルゴリズムを活用してテキストベースの脅威を検出し、スピアフィッシング攻撃の可能性をユーザーに警告する警告バナーを表示します。エグゼクティブフィッシングスキームはインサイダー攻撃の一部として頻繁に発生するため、ソリューションが内部環境をネイティブに保護することも重要です。
