Vade は、スピアフィッシング攻撃を熟知しています。当社のメールセキュリティソリューションは、なりすましの正確な送信元やドメインだけでなく、一目瞭然のなりすましやカズンドメインも検知できる能力を備えているので、これらの脅威をお客様のために、常に特定することができます。とはいえ、私は最近、他人事ではないスピアフィッシングに出くわしました。というのも、私が標的にされたからです。
それは、次のようなメールで始まりました。そのメールは、VadeのCEOであるジョルジュ・ロティジエから送信されたかのように見えました:
私の目を引いたこのスピアフィッシングメッセージには、いくつかの特徴があります:
- 偽名ユーザーはジョルジュ・ロティジエになりすましている:しかし、実際のメールアドレスは、ceo230002@message2net.comです。これは、ハッカーが会社を調べて、GeorgesがCEOだと特定したことを示しています。そして、ハッカーは、一見本物のように見えるように、「CEO」を織り交ぜた偽のメールアドレスを作成しました。
- このメールは「Sent from my iPad(iPadから送信)」となっている: ジョルジュならば、このような依頼は仕事用のメールアドレスから送信するのではないでしょうか?普段ならそうです。しかし、思い出してください、彼は会議中で手が離せないのです。だから、会議の最中にノートパソコンを開く代わりに、自分のiPadから彼が素早くメールを送信したことが考えられます。
- メッセージに差し迫った依頼は含まれていない: ハッカーは、それとなく用件をほのめかしてきますが、最初のメールは金銭の支払いに繋がる依頼をする前に信頼関係を築くことが目的です。ハッカーたちは受信者に大丈夫だという間違った安心感を与えようとして、この手法をスピアフィッシングでますますよく使うようになっています。
- Vadeが攻撃を検知した: Vadeでは、「ドッグフーディング(他人におすすめする前に、まずは自分達で試してみること)」を実践しており、Office 365のためのVade for Office 365を使って自社の社員を保護しています。スクリーンショットでご覧いただけるように、このソリューションは、なりすましの企てを特定し、カスタマイズ可能なスピアフィッシングバナーを表示してスピアフィッシング攻撃を警告しました。
単に普段通りに過ごすよりもむしろ、当社のテクノロジーがこの仕事をやってのけたことを誇りに思っていた私は、ハッカーに返信して騙されたふりをしながら、この攻撃がどのように進展するのかを見てみることにしました。警告バナーを削除してから、「はい。ご用件はなんですか?」と返信しました。 すると、次のようなメールを受信しました:
彼の見え透いた芝居を私が受け入れたと考えたハッカーは、とどめを刺しにかかります。つまり、彼の金銭的な報酬要求です。彼は、クライアントに贈るためのGoogle Playのギフトカードを私に購入してほしいと言います。具体的には、500ドルのギフトカード4枚を私が購入して、コードを彼宛てにメールで送信するように求めてきました。つまり、2000ドル分の支払い要求です。私が市場をリードするセキュリティ会社で働いてさえいなければ良かったのですが、なんと不運なハッカーでしょう!
ギフトカード詐欺が増加中
ギフトカードの依頼は、スピアフィッシング攻撃に見られるもう一つの興味深い変化です。長い間、電信送金依頼やビジネスメール詐欺(BEC)は、スピアフィッシングメールで使われる最も一般的な手法でした。BEC攻撃は今もなお広く普及していて、非常に大きな損失をもたらしていますが、ギフトカード詐欺もますます増加してます。2018年に、連邦取引委員会(FTC)は警告を発して、ギフトカード詐欺の増加に対する注意を促しました。FTCによれば、不正なギフトカードの支払いによる損失は、2018年の初めの9ヶ月間で5300万ドルにも膨れ上がりました。
次に、当社の提携企業が受信したもう一つの例をご紹介します。ハッカーは、会社のCEOになりすまして社員にメールを送信し、100ドルのiTunesギフトカードを20枚購入するように依頼しました。どちらかといえば単純なこのケースでは、ハッカーは最初に信頼を築いてから購入を依頼するという二段階の手法を取りませんでした。好都合な疑うことを知らない受信者を狙ったこの攻撃は、迅速で簡単に利益を得る方法です。
スピアフィッシング攻撃を検知する
メールを読む時は、たとえ同僚や知人、さらには上司から送信されたように見えるものであっても、常に注意を怠らないようにしましょう。ハッカーは、公開されている情報(ウェブ・SNS・過去のデータ漏洩などによるもの)を次第に巧みに利用して、説得力のあるスピアフィッシング攻撃を入念に仕組むようになってきています。
以下の2分間ビデオをご覧になって、Vade for Office 365がスピアフィッシングを検知する方法についてさらに理解を深めましょう。
