フィッシング詐欺は古めかしいサイバー攻撃手法であり、不慣れな人しか引っかからないように思われる。

ところが、フィッシングの手口は進化を続け、実際的なものになり、ますます精巧の度を増している。疑うことを知らない人々を誘い出し続けており、現在も脅威アクターにとって最も成果を上げられる手口の1つになっているのだ。

なぜだろうか？

「単純に、有効だからです」。ID管理システムを提供する米Oktaのアジア太平洋・日本地域担当CSO（最高戦略責任者）、Brett Winterford（ブレット・ウィンターフォード）氏は言う。「ソーシャルエンジニアリングに対しては、万能の対策というものはありません」

件名で引っ掛けるだけではない

フィッシング詐欺の歴史はインターネットが本格的に普及し始めた1990年代後半にさかのぼる。初めはEメールだったが――「リンクをクリックしてアカウントを保護」「ログイン情報を更新してください」のような類だ――今日の攻撃者はもっとこそこそとした、はるかに巧妙な手口を使っている。

たとえば、クラウドセキュリティ企業の米Netskopeによると、偽のサードパーティ製クラウドアプリケーションの被害に遭うユーザーが増えているという。攻撃者側はMicrosoft 365やGoogle Workspaceなど、広く使われている正規のアプリケーションによく似た――とはいえ、たとえば、ログイン画面の色や形状がわずかに異なる――アプリケーションを作成、ユーザーを信用させて認証情報を入力するように仕向けている。

他にも、カスタムドメインを利用してフィッシングサイトをホストする手口もよく使われる。これも正規のドメインによく似たURLを作成する計略だ。さらに、リダイレクトサービスやURL短縮サービス、検索エンジンからの流入を悪用した手口などもある。

Netskopeの研究チームによると、「データの空隙部分も武器として使われている」という。あまり入力されない検索ワード（製品マニュアル、特定のソフトウェアの特定の機能の使い方など）に関するページを作成する手法だ。

また、SNSにはフィッシングサイトへのリンクを貼ったポップアップアンケートやDM（ダイレクトメッセージ）、動画、写真やコメントが仕掛けられている。

以上のようなことから、フィッシング詐欺は今日でも企業にとって大きな脅威となっている。セキュリティ企業の米プルーフポイント（Proofpoint）が毎年発表しているレポート「State of the Phish」（フィッシング詐欺の現在）によると、2022年は調査対象となった世界の企業・団体のうち、84%がフィッシング攻撃による被害を少なくとも1回、54%が3回以上の被害を受けている。

コモディティ化するサイバー犯罪

新しく登場した、さらに厄介な攻撃手法がAiTM（Adversary in The Middle、中間者攻撃）フィッシングだ。Winterford氏が最近、自社ブログで詳しく説明している。リバースプロキシとして設定した悪意のWebサイトにターゲットを誘導するもので、ユーザーからのリクエストをリアルタイムで正規のWebアプリケーションに中継、ユーザーがサインインしてしまうと、攻撃者は認証情報やセッショントークンの取得に成功する。

概して標的型攻撃に使われる手口だが、PhaaS（フィッシング・アズ・ア・サービス）の利用増加に伴い、従来よりも「はるかに多数の脅威アクター」が活用できるようになっているという。

各種のPhaasツールが――「EvilProxy」や「NakedPages」、最近では「Greatness」など――AiTM攻撃キャンペーンを展開するのに必要となるインフラ、設定、フィッシングテンプレートといった有償サービスを提供しているのだ。

「Phaasのようなものは、技術者ではない、あるいは高い技術を持たない悪意のアクターがサイバー犯罪に参入できるように作られています」。米KnowBe4でセキュリティの啓蒙を担当するErich Kron（エリック・クロン）氏が述べている。

インフラの保守やマルウェア開発を技術力のある者に任せれば、サイバー犯罪者はリンクをクリックさせたり文書を開かせたりすることに専念できる。

収益性の高い市場なのだ、と氏は言う。「フィッシング詐欺を成功させるために必要となる要素のすべてを自力で扱うことはできなかった」多くの人間を引き付けているとした。

サイバー犯罪の金銭面には魅力的なものがあるという。Winterford氏によると、Oktaの研究チームはここ数年、「作業の専門分化が進んでいる」様子を目撃しているという。つまり、比較的少数の高度なスキルを持つアクターがエクスプロイト開発に専念し、それよりも多くの人間がもっぱらネットワークへの最初の侵入を試み、その他大勢がそうしたアクセスを購入、（ランサムウェアの展開、データ窃盗による恐喝、ビジネスメールの侵害などによって）利益を得ているのだ。

「攻撃側のイノベーションに見返りをもたらす、活力に満ちた環境ができているのです」と氏。「企業ネットワーク内のユーザーは信頼できるという前提に立った、高度に複雑でレガシーなID管理の手法に依存している組織は手ひどい損害を被っています」

人工知能（AI）の影響

このところ、企業による議論のほとんどすべてがAIによって活気づいているが、サイバーセキュリティに関してももちろん例外ではない。AIを利用すれば、「従来よりも説得力のあるフィッシングメッセージ（の作成）や正確な標的設定」が可能になる、とWinterford氏は言う。

「AIによる拡張が進んだ社会では、ユーザーが悪意のないものと悪意のあるものを区別する必要のないアクセス方法を提供しなくてはなりません」と氏。

氏によると、AIで生成したものかどうかに関係なく、ソーシャルエンジニアリング攻撃の大多数は回避することが可能だという。フィッシングに強い認証システムを利用することが最善だと示唆した。パスワードレスのサインインでは、サービス登録時に認証システムとの「暗号化を利用した紐づけ」が行われる。

さらに、マルウェアペイロードを配信するフィッシング攻撃への対策で最も有効なのは、エンドポイント保護ツールと実行制御ツール（アプリケーションのホワイトリスト登録）を利用することだと語った。

ワンタイムパスワード（OTP）を利用した従来型の多要素認証（MFA）ツールについては、ある程度の保護を提供するものの、ユーザーが認証情報を送信しようとしているドメインが正規のものか悪意のあるものかを識別できないものが多い、と指摘した。

また、フィッシング対策の他にも、サインイン時のユーザーの行動など、多数の要素を考慮したリスク評価をリアルタイムで行うことが重要だとした。評価したリスクレベルは、アクセスを許可するか拒否するか、追加でMFA認証を求めるか、パスワードレス認証を許可するかの判定に利用することができる。

「従来の境界型セキュリティは、今日のビジネス環境にはそぐわないものになりました」とWinterford氏は言う。「今日、多くの企業にはリモートで働く社員や請負業者、ビジネスパートナーがおり、さまざまなクラウドベースのアプリケーションへのアクセスを必要としています」

詰まるところ、氏の言うように、「今やID認証が新たな境界になった」のだ。

多層防御の実施

一方、高度なMFAを導入している場合であっても、企業等の組織は「多層防御を実施」しなくてはならない、と氏は言う。ユーザーが不審なメッセージやフィッシングサイト等のソーシャルエンジニアリングの手口に気づき、不審なアクティビティの報告先を把握できるよう教育することも重要だ。

「レジリエンスがどの程度のものになるかは、効果的な技術管理がなされているか、思慮深いビジネスプロセスを構築できているかで決まります」と氏。

また、サービスとして利用可能な一般向け生成AIモデルと企業内で保有・管理するAIモデルの違いについて、ユーザーを教育する方策を打つ必要もありそうだ。

Why phishing is still successful — and is AI to blame?