Webinar解説「従業員をフィッシング防御の最前線に – あなたのチームは戦う準備はできていますか？」

解説： ISC2認定主任講師/株式会社ラック 安田 良明 氏 CISSP, SSSP

ISC2

Webinar開催日:2020年6月24日
スピーカー: 藤田 平, Principal Engineer, Japan, Cofense.

Webinar視聴のご視聴はこちら

みなさん、こんにちは。ISC2認定講師の安田 良明です。日本においてはCOVID-19の規制緩和が徐々に進められ10月1日から日本全域で「Go To トラベル事業」が解禁されるようです。少しずつ新しい旅の在り方を探しに遠方に外出される方も多くなっていくかと思いますが、僕は「Go To トラベル事業」を早い段階から活用し外出・旅行に行くことで自宅やサイバー空間に引きこもらないようにしてきました。

しかし、外出時は3密が発生する場所や旅先の居酒屋やお風呂などで大声を出すような行為も見受けられるため、自分自身でリスクと向き合い選択しながら行動を取ることが要求されます。僕も必要な衛生習慣を確実に行い、周りの方々への配慮を忘れずに適切な行動を取りながら「Go To トラベル事業」を活用したいと思います。

そんな中、第19回目に配信されたISC2日本語Webinarのアーカイブ視聴を行いました。第19回目のWebinarでは、すべての組織や個人において必ず検討するフィッシング脅威について「Cofense 藤田 平」様から最新の脅威状況について詳細なプレゼンテーションがありました。

フィッシング脅威はEメールから攻撃を組み立てることが多いと知られていますが、最近の攻撃者は攻撃の成功率を高めるため組織のITシステム環境、テレワーク環境やクラウド環境でよく使用されている仕組みを悪用することで攻撃の検出を回避しています。そのためフィッシング脅威に対応する検出手法の１つであるセキュリティEメールゲートウェイ（SEG）をセキュリティ管理策として導入・運用していたとしても、怪しいEメールをすべてSEGで防御することは不可能なため怪しいメールがユーザーに配送されユーザーは常にクリックする可能性があることを前提にフィッシング脅威に立ち向かう仕組みを導入する必要があることを理解できました。

また、藤田様のWebinarで怪しいメールを見抜くための教育やメール訓練に取り組んでいる組織について、本質的な対応が不十分であるという指摘がありました。教育やメール訓練によるユーザーの開封確率を下げる取り組みはあくまでも怪しいメールを開封しないための1つの手段であり、本来の組織の目的は脅威と分かった時点で、組織内で共有し迅速に対応できる具体的・現実的な仕組みづくりが必要になることを理解できました。

一般的にフィッシング脅威へのセキュリティ管理策はユーザーへの依存度が高くなりITで実装することが困難になりがちですが、CISSPは管理策の仕組みをITで実装することに常にチャレンジしユーザーの負荷を低減できる選択肢を考えなくてはならないことをWebinarを通じて再認識する良い機会になりました。

今回は2020年6月24日に行われた「Cofense」様のWebinar「従業員をフィッシング防御の最前線に – あなたのチームは戦う準備はできていますか？」について、「セキュリティの運用」で取り扱われているCISSP的な考え方にリンクさせながら解説を行います。

CISSPは、「セキュリティの運用」で紹介されている数々のCBK(共通知識分野)を理解することで、組織が業務活動を行う上で必要となるサービスに対し、サービスの企画から運用、保守、廃棄を含む一連のライフサイクルを通じて、サービス提供事業者側がセキュリティの状態を保証し続ける必要があります。そのため、CISSPには業務活動を行うライフサイクル期間中に発生する様々なイベントを把握し続ける仕組みづくりが要求されることに加え、万が一イベントの中にインシデントが存在していた場合は適切に対応するための「インシデントの管理」プロセスを確立していくことを共通知識として理解する必要があります。

「インシデントの管理」プロセスにおいては、防御の管理策を突破されてしまうことを前提にインシデント管理プロセスを「検出、対応、低減、報告、復旧、改善、教訓」のフェーズとして準備しておく必要があります。例えば、検出フェーズでは何かしらの検出メカニズムにより潜在的なインシデントにつながるイベントを早期に検出する必要があります。次に潜在的なインシデントが検出された場合、適切な担当者に通知しインシデントであるかどうかを判断しなければなりません。インシデント対応については、インシデントなのかどうかに加え、インシデントが発生しそうなのか、インシデントが既に発生したのかを含め判断します。万が一インシデントが発生しそう、または発生しているのならば次の低減フェーズの取り組みを行います。他にも報告、復旧、回復、改善フェーズがありますが、これらのフェーズを「インシデントの管理」として詳細に活動内容と役割分担を定義することでセキュリティの運用を保証することが可能になります。

それでは、藤田様のwebinarで紹介されている「従業員をフィッシング防御の最前線に – あなたのチームは戦う準備はできていますか？」について解説をしていきます。多くの組織では業務を行う上でEメールを活用している組織が多いと思います。また、個人としても知人や企業とのやり取りでEメールを活用しているケースが多いと思います。僕たちの社会生活を豊かにするためにＥメールがデジタル社会の一部を担うITシステムであるのは明白ですが、いつ頃からEメールを使った迷惑行為が存在するようになったのでしょうか。

世界で最初の迷惑メールと言われているものは、「迷惑メール対策推進協議会」の「迷惑メールハンドブック2017」※１によるとDigital Equipment Corporation（DEC)（現HP）が、1978年5月3日に製品発表会の案内を送信したものと言われており、インターネットの商用利用が可能となった1993年以前から受信者の同意を得ないで広告・宣伝メールが送られていたようです。しかし、当時のITインフラはブロードバンド環境が普及していないためメールの大量送信を行える通信環境が存在しないことに加え、通信使用料が従量課金による支払いが主流だったこともあり、大量送信を行うようなことはなかったようです。

しかし、ブロードバンド環境が世界中に普及していくとメールの大量送信がネットワークに深刻な影響を与える事例が発生します。GDATA社のウイルスの歴史※2によれば、1999年のメリッサワームの登場によりメールによるウイルス感染が世界中に広がったことや、2000年に登場した「LOVELETTER」ワームはネットワークを高負荷状態に陥らせることに加え亜種が数多く流通したため、この頃にメールゲートウェイによるフィルタリングの運用が開始されたことが紹介されております。メールゲートウェイの仕組みは約20年前から運用されていたんですね。

そして、数年後となる2002年に標的型攻撃メール攻撃の報告がトレンドマイクロ社から公開されております※3。日本国内においては2005年に情報処理推進機構（IPA）※4から官公庁職員を詐称したメールの報告が公開され、僕もその報告内容に驚いたことを記憶しています。

一度、標的型攻撃が成功してしまうと、ユーザーになりすますことが可能な個人識別情報（クレデンシャル）や組織や個人で保存している機密情報、個人情報などが不正に入手されてしまいます。そのため、不正アクセスやデータ流出などのインシデントが発生してしまいますが、攻撃の手が止まるわけではなく、入手した情報を悪用し次々と感染可能な情報資産に攻撃が行われます。特にクレデンシャルを奪われてしまうと正規ユーザーになりすまして攻撃ができるため、組織内の信頼できるネットワークをアクセス制御無しで攻撃することや信頼された取引先に対するサプライチェーン攻撃へ発展することもあるため、標的型攻撃だけではなくフィッシング脅威全般に注意を払う必要があります。

歴史を紐解くと約20年前からフィッシング脅威は世界中で認識されており、SEG技術も高度化し続けていますが、フィッシング脅威は今でも世界中の組織を悩ませる脅威の1つとして存在します。その理由について藤田様はWebinarで、フィッシングの攻撃者はSEGをすり抜ける手法を常に分析し続けており、現在においては組織が使用するオンライン上の業務手続きの調査やドキュメント管理で使用される共有プラットフォームなどの信頼できるサービスをフィッシング攻撃の手法として取り入れることで、ESGをすり抜けられるフィッシングメールを送りつけてくると解説しています。

そのため、ESGをすり抜けてしまえば、ユーザーの受信ボックスに怪しいメールが配送されてしまうため、組織の一部のユーザーが怪しいEメールの添付ファイルやURLをクリックしてしまう可能性があります。

ESGをすり抜けた後はフィッシングメールを検出できるかどうかはエンドポイントセキュリティの管理策もしくはユーザーの判断能力に依存してしまいます。エンドポイントセキュリティの管理策は多層防御の１つではあるものの、攻撃者があらかじめすり抜ける手法を確立している可能性があるため、ESG同様、効果が満足に発揮できない可能性があります。

大半の組織では最終的な防御ラインとしてフィッシングメールに関する教育やメール訓練を行っているため怪しいメールは開かない、万が一開封してしまったらすぐにセキュリティ担当者に報告し、予め決められたプロシージャーによりインシデント対応を行えるようにしている組織が多いと思います。ただ、フィッシングメール攻撃は組織の誰かが1回でも怪しいメールを開封してしまえば、インシデントが発生する可能性があるため、組織が受容できないリスクを発生させる可能性があります。また、ユーザー自身が怪しいEメールを開封したことに気がつかないこともあるため、迅速にユーザーからセキュリティ担当者に報告されない可能性もあり、マルウェア感染の検出、対応が遅れる可能性もあります。

まさに藤田様が解説しているESGをすり抜けるフィッシングメールの検出をどうするかはCISSPの共通知識「インシデントの管理」の検出フェーズの課題の１つであり、どのような手法でフィッシングメールを検出するかを具体的・現実的な仕組みとして実装する必要があります。検出の仕組みは組織が任意に選択することができますが、自動的に検出が可能なESGやアンチマルウェアソリューションなどの仕組みだけでは、すり抜ける可能性があるため、ユーザーの介入による検出の仕組みも多層防御として実装する必要があります。

ユーザーにフィッシングメールを検出してもらうためにはフィッシングメールの教育を定期的に行うことで、普段のメールとの微妙な違いに気づきやすくしてあげる必要があります。また異変に気付いた場合怪しいEメールをユーザーが削除して対応するのではなく、セキュリティ担当者に怪しいEメールを受信したことを報告・共有することで、他に同様なEメールを受信しているユーザーが存在していないか、もし存在する場合セキュリティ担当者がリモートで怪しいEメールを隔離することでインシデントの発生を未然に防ぐことが可能になります。

CISSPでは「インシデントの管理」における共通知識で脅威の検出手法を自動的またはユーザーの介入でできるようにすることが要求されます。しかし、ユーザーの介入による検出は一般的な組織では嫌煙される可能性があります。理由は、容易にユーザーが報告する仕組みが無いことや脅威ではない報告を受けることを嫌がるセキュリティ担当者が存在することに起因します。ユーザーに手間がかかる仕組みでは自分自身の業務の生産性が阻害されるため協力してくれない可能性があります。また、複数のユーザーから脅威が存在しないEメールを繰り返しセキュリティ担当者に報告し続けた際、セキュリティ担当者が報告したユーザーに対して好意的な対応を取り続けることができなければ、ユーザーと良好な協力関係を気づけず怪しいEメールの検出に協力をしてくれないかもしれません。

CISSPは「インシデントの管理」をセキュリティの運用に組み込む際、費用対効果についても理解しておく必要があります。CISSPはインシデントではないイベントが誤って報告されるほうが実際のインシデントの早期検出の機会を逃すよりも組織にとってメリットがあることを認識しておく必要があります。それは、経済的合理性として考えた場合、実際のインシデントへの対応が遅延した場合のコストの方がインシデントではないイベントを処理するコストよりも高くなることがあるためです。一概には言えませんが、一般的にこの考え方が組織に当てはまります。

藤田様のプレゼンテーションでは人の介入を最小化する仕組みの具体的な解説がありました。今は簡単にメールクライアントに怪しいEメールをセキュリティ担当者と共有するアドオンを実装できるため、容易にセキュリティ担当者と怪しいEメールを共有することが可能です。また、組織内で共有されれば、報告していない他のユーザーの受信ボックスをピンポイントで高速検索しリモートで隔離することが可能になることや、怪しいEメールを分析しIoC（Indicators of Compromises）を登録することで怪しいEメールの実行をブロックすることや、既に怪しいEメールを実行してしまったユーザーの情報資産を把握することが期待できます。たった一人のユーザーの報告により組織全体の防御ができる具体的なソリューションの1つを藤田様のWebinarを通じて学ぶことができました。

今回は「セキュリティの運用」の共通知識を元にWebinar解説を行いましたが、CISSPでは自動化もしくは人の介入によりセキュリティの運用を実現する必要があります。もちろん自動化によるセキュリティの運用は誰がやっても同じ結果が手に入るため自動化を行うことの検討は重要ですが、藤田様の解説にあった通り、攻撃者により自動化の検出手法はすり抜けられる可能性があります。特にフィッシング脅威については、通常業務で使用する仕組みを悪用してくるためESGによる検出には限界があることをCISSPは理解する必要があります。

CISSPは人の介入が必要となるセキュリティ管理策の必要性を理解し、疑わしいEメールをユーザーが容易に共有できる仕組みを準備することに加え、その活動をプロアクティブな取り組みとして組織として迎え入れてあげる文化を作ることも重要です。藤田様の言葉を借りると抜本的な防御の方法を検討せず、未だに怪しいEメールを開封したかどうかを検出するためにEDRに依存してしまう組織や感染後の挙動を把握するためにフォレンジックで対応しましょうという非生産的なアプローチを好む組織が存在するようです。もちろん、EDRやフォレンジックはCISSPの「インシデントの管理」として検出フェーズや「調査」の共通知識では必要となります。しかしサイバーハイジーンの考え方が世の中で啓蒙されるようになった今、CISSPとして、今までは難しい取り組みであった怪しいEメールを開封しない仕組みづくりに経営陣とともにチャレンジすることも重要な姿勢ではないかと思います。

いかがでしたでしょうか。今回は、「Cofense 藤田 平」様のWebinar「従業員をフィッシング防御の最前線に – あなたのチームは戦う準備はできていますか？」について、「セキュリティの運用」に焦点を合わせてCISSPの共通知識分野に紐付けて考えてみました。Webinarではスナップショットを交えたフィッシング脅威の詳細な解説や本質的なフィッシング攻撃への取り組みの考え方が紹介されております。教育やメール訓練だけでは怪しいEメールの開封を防ぐことはできないと思われた方は、是非Webinarを視聴してみてください。

　最後に、ISC2が提供するWebinarは、ISC2メンバーまたはそれ以外の方、どなたでも視聴することができますので、是非、みなさんの組織で有効活用していただきたいと思います。Webinarはオンライン視聴だけではなく、Webinarの講演資料やスポンサー様が公開しているホワイトペーパー等をオフラインで確認することもできますので、お時間があるときにWebinarのトピックをISC2 CBK(共通知識分野)に紐付けて読み解いていくことが可能です。また、ISC2メンバーでない方は、Webinarを通じて、グローバルスタンダードにおけるCBK(共通知識分野)に触れていただければと思います。さらに、興味がわきましたら、CISSPチャレンジセミナー、CCSPチャレンジセミナーにお越しいただけると嬉しいです。

※1 迷惑メール対策ハンドブック2017
迷惑メール対策推進協議会
https://www.dekyo.or.jp/soudan/data/anti_spam/s10/12-ASPChandbook2017.pdf

※2 ウイルスの歴史
G DATA
https://www.gdata.co.jp/labs/history

※3 Trends in Targeted Attacks
Trend Micro
https://www.trendmicro.de/cloud-content/us/pdfs/security-intelligence/white-papers/wp_trends-in-targeted-attacks.pdf

※4 標的型攻撃メールの傾向と見分け方
情報処理推進機構
https://www.ipa.go.jp/files/000052612.pdf

• 2020年
• 2019年
• 2018年