フィッシングを阻止し、暗号化された情報の流出と通信を遮断します
かつては、フィッシング攻撃やスピアフィッシング攻撃は、クリスマスや旧正月などの主要な祝日、中国のバレンタインデーやランタンフェスティバルなどの消費者が好む祝日、米国のブラックフライデーやサイバーマンデー、英国やイギリス連邦のボクシングデー(12月26日)、アジアの独身の日(11月11日)などの消費者ショッピングイベントの時期など、特定の時期にのみ急増していました。
その後、攻撃者は、自然災害や人為的災害、戦争、病気、選挙、あるいは今日のニュースサイクルを牽引するあらゆる出来事によって引き起こされる FUD (恐怖、不確実性、疑念) を利用して、悪意のある種をまけることに気付きました。
英国では、情報コミッショナー事務局(ICO)が、2019年4月から2020年3月までのサイバー関連侵害の最大の原因はフィッシングであると報告しました。 オーストラリア情報コミッショナー事務局(OAIC)は、報告された全事例のうちフィッシングが36%を占め、最も多かったと明らかにした。
そのため、世界的なパンデミックの脅威、隔離やロックダウン下にある国々、在宅勤務を余儀なくされる労働者、さらには米国やその他の国での激しい選挙によって、フィッシング攻撃やスピアフィッシング攻撃は 2020 年を通じて大幅に増加しました。 COVID-19 に対処するためのワクチンが準備されているという発表さえも、警戒心の強い人々でさえ未知のソースからのメール(あるいは、アカウントが侵害され乗っ取られた可能性のある既知のソースからのメールでさえ)を開かせ、マルウェアやその他の悪意のある攻撃ベクトルを拡散させ、ユーザーや企業の情報を盗んだり、機密性の高いネットワーク、クラウド、アプリケーション、データへの不正アクセスを可能にしたりするために利用されています。
最近のフィッシング攻撃の急増の最もよく挙げられる理由の 1 つは、COVID-19 パンデミックによって引き起こされた在宅勤務命令です。 多くの従業員、請負業者、その他のスタッフが自宅やリモートで仕事をすることを余儀なくされ、これがすぐに攻撃者の望ましくない注目を集めました。 彼らは、リモートで働く人々はプレッシャーが増し、警戒を緩めて、通常であれば疑念を抱かせるようなメールであっても、ほとんどすべてのメール内のリンクをクリックし始める可能性が高いことを理解していました。 また、在宅勤務者は、フィッシングなどの攻撃から保護するために組織が通常使用するツールを備えていない BYOD 製品を使用している可能性があることも認識しています。 また、攻撃者やハッカーは、在宅勤務者はセキュリティ ソフトウェアを実行または更新し続けるための帯域幅が十分ではなく、セキュリティ ソフトウェアをオフにしたり、更新を見逃したりする可能性があると考えています。 多くの場合、彼らは正しいのです。
フィッシングと暗号化
フィッシング攻撃が急増するにつれ、暗号化を使用するフィッシングサイトの数も増加しています。 F5 Labs の最近の「フィッシングおよび詐欺レポート 2020」によると、フィッシング リンクの約 72% が被害者を HTTPS で暗号化された Web サイトに誘導しています。 つまり、悪質なフィッシング サイトの大部分は、最も知識のある従業員でさえ簡単に騙すことができる、有効で信頼できる Web サイトのように見えるということです。 このデータは、他のレポートの調査によっても裏付けられており、その中には、有効な証明書を使用してフィッシング Web サイトを有効なものに見せかけ、機密性の高いアカウントや支払いデータを盗み出す、疑わしい小売業に似たドメインを発見したVenafi のレポートも含まれています。
TLS 暗号化を利用して本物らしく見せかけるのは、悪質な Web サイトだけではありません。 また、フィッシング攻撃によって配信されるマルウェアが被害者やその組織から盗んだデータを送信する送信先でもあり、これらの送信先はドロップ ゾーンと呼ばれます。 F5 Labs の 2020 年フィッシングおよび詐欺レポートによると、2020 年に F5 セキュリティ オペレーション センター (SOC) が調査したドロップ ゾーンに関連するインシデントのすべて (100%) で TLS 暗号化が使用されていました。
暗号化されたトラフィック内の脅威を見つけるのは簡単ではない
現在、さまざまな角度からフィッシングに対処するためのソリューションが数多く存在します。 フィッシング攻撃を認識して対処する方法をスタッフにトレーニングし、攻撃の拡大と効果を軽減するソリューションがあります。 これらのソリューションは、電子メールのセキュリティに対応し、スパム、マルウェア、悪意のある添付ファイル、BEC 攻撃などから保護します。 組織の電子メールを管理するサービスがあります。 組織の Web トラフィックをプロキシし、それを複製または模倣し、レンダリングするコードをローカル デバイスに配信したり、Web ページを模倣するが、その背後にある疑わしいコードや悪意のある可能性のあるコードは含めないサービスさえあります。
これらはすべて優れたソリューションですが、暗号化されたトラフィックに対処するという問題が依然として残ります。 トラフィックが暗号化されている場合は、マルウェアやその他の危険なコードがないかチェックする前に、復号化する必要があります。 これは、フィッシング メール内のマルウェアに感染しやすい悪質なリンクをクリックしたり、悪意のあるコードが詰まった添付ファイルをダウンロードしたり、「適切な」暗号化証明書を持っているため本物で無害に見える悪意のある Web サイトにアクセスしたりして組織に侵入する暗号化トラフィックにも同様に当てはまります。また、盗んだデータを持って暗号化されたドロップ ゾーンに向かったり、さらなる攻撃を開始するための指示やトリガーを求めてコマンド アンド コントロール (C2) サーバーにアクセスしたりする暗号化トラフィックにも当てはまります。
さらに、これは、欧州連合(EU)の一般データ保護規則(GDPR)、カリフォルニア州消費者プライバシー法(CCPA)、または世界各国で議論されている他の多くの規制などの政府のプライバシー規制を考慮に入れていない。これらの規制には通常、ユーザーの財務データや医療データなどの個人情報の復号化を禁止する文言が含まれている。 暗号化されたトラフィックを復号化する場合は、これらのプライバシー規制に対応する必要があり、そうしないと、これらの規制に違反した組織は訴訟や多額の罰金を科せられる可能性があります。
でも待ってください、まだあります…
そうは言っても、今日のフィッシング攻撃には暗号化を使用するものが多くあり、組織はそれを認識する必要があります。 F5 Labs の 2020 年フィッシングおよび詐欺レポートでは、ドロップ ゾーンの 55% 以上が非標準の SSL/TLS ポートを使用している一方で、フィッシング Web サイトの 98% 以上が、クリアテキスト HTTP トラフィック用のポート 80 や暗号化トラフィック用のポート 443 などの標準ポートを使用していることも判明しました。 つまり、特に送信暗号化トラフィックの場合、標準ポートのスキャンに頼るだけでは不十分です。 導入されたソリューションでは、非標準ポート上の送信トラフィックをスキャンして復号化する必要があります。 これは、重要なデータの難読化と流出を阻止するために不可欠です。
今日、フィッシング攻撃による暗号化された脅威を阻止するために、組織はすべての受信 SSL/TLS トラフィックを検査し、悪意のある、またはフィッシングの可能性がある Web トラフィックが停止され、排除されるようにする必要があります。 しかし、その検査には、財務情報や健康関連情報などの機密性の高いユーザー情報を含む暗号化されたトラフィックの復号化をインテリジェントにバイパスする機能も含まれている必要があります。 さらに、今日の組織は、C2 サーバーやドロップ ゾーン サーバーとの暗号化された通信からマルウェアを阻止し、データの流出や攻撃のトリガーを阻止するために、非標準の送信 Web ポートを完全にブロックするか、少なくとも監視する必要があります。 セキュリティ スタック内のデバイスでサポートされている暗号化の種類など、考慮すべき重要な事項は他にもあります。 たとえば、攻撃者が特定のセキュリティ デバイスが前方秘匿性 (Perfect Forward Secrecy、PFS とも呼ばれる) をサポートできないことを知っていれば、それを利用して、暗号化されたトラフィックがセキュリティ デバイスをそのまま通過するようにする可能性があります。 このアクションは、スタック内のセキュリティ デバイスがデイジー チェーン接続されている環境では特にコストがかかり、危険です。 PFS をサポートしていない 1 つのデバイスがトラフィックをバイパスすると、チェーンの残りのデバイスもバイパスされます。
セキュリティ意識向上トレーニングや電子メール セキュリティ、フィッシング対策ソリューションの導入に加えて、これらの保護対策を実施しないと、組織は攻撃や侵害、そして重要な企業データやユーザー データの盗難の危険にさらされることになります。
F5 SSL Orchestrator が暗号化されたトラフィックによってもたらされるセキュリティの盲点をどのように排除し、流出や盗難の対象となる重要なデータの難読化をどのように解消するかについては、ここをクリックしてください。