様々な種類のあるサイバー攻撃ですが、その中でも身近で被害事例も多いため、フィッシングについての情報は広く知られつつあります。Webサイトやメールのリンクから偽のWebサイトに誘導し、各種システムのログインIDやパスワード、クレジットカード番号などの個人情報を取得する手口です。
このフィッシングに関して、近年増加している亜種の手口がラテラルフィッシングです。
巧妙な手口により従来のフィッシングメールよりも見分けるのが難しく、またテレワークの急激な普及による環境不備の隙をついている点も被害が急速に広まった要因と考えられます。
本記事ではラテラルフィッシングについて、手口や事例、対策方法について解説します。未然に被害を防ぎたい企業の情報セキュリティ担当者様に役立てていただきたい情報です。
また、フィッシングメールを含めた企業向けの迷惑メールである標的型攻撃の事例・サンプルをまとめた資料を無料で配布しています。併せてご覧ください。
ラテラルフィッシングとは
ラテラルフィッシングは従来のフィッシングを拡張した新たなサイバー攻撃の手口の一つです。
ラテラルフィッシングでは、何らかの方法で取得した他者の正規のメールアカウントを利用して、フィッシングメールを送付します。ここで利用されるメールアカウントは、有名な企業や信頼のある組織のメールアカウントなどを狙って乗っ取るケースが多いようです。
メールの受信者は正規の送信者アドレスからメールが送られていることから、メールの内容を信用し情報を渡してしまい、被害に繋がります。
lateral(ラテラル)とは横方向を意味する英単語で、最初に何らかの方法で取得したメールアカウントからその関係者に向けて被害が広まっていく様からラテラルフィッシングと呼ばれるようになりました。負の効果が横展開されてしまうため、爆発的な勢いで被害範囲が広がりかねない手法です。
乗っとられたメールアカウントの所有者の企業・組織や、その近辺の関係者が狙った攻撃です。
ラテラルフィッシングで情報が詐取された場合の被害
ラテラルフィッシングの場合、既にメールアカウントが悪用されており、サイバー攻撃者はメールアカウントの周辺に対して一定の情報を持っています。このため、ラテラルフィッシングで取得された機密情報や個人情報は狙いを定めた攻撃であることが多く、悪用される可能性が高いです。
さらなるラテラルフィッシングに利用される可能性もあります。
ラテラルフィッシングでの被害対象として、Microsoft365などのクラウドサービスのアカウント情報が狙われたという被害情報があります。これらのクラウドサービスのアカウントが詐取された場合、クラウドサービスに格納された機密情報や個人情報が漏えいする被害につながるでしょう。
フィッシング詐欺についておさらい
ラテラルフィッシングは従来のフィッシングの手法を利用したサイバー攻撃手法です。
ここで、あらためてフィッシング詐欺についておさらいしておきましょう。
フィッシング詐欺の主な手口
フィッシングとはフィッシングサイトと呼ばれるWebサイトに誘導し、各種システムのID/パスワードや個人の住所、クレジットカード番号などの情報を略取するサイバー攻撃です。
フィッシングサイトへの誘導には、eメール、SNSやWeb上の掲示板からのリンク、Webサイトの改ざんによるリンク、携帯電話のSMSなどが利用されています。メールやSMSを利用した誘導では、各種の企業やサービス、公的機関からの連絡に成りすまし、情報を詐取につなげる手口が横行しています。
フィッシング詐欺の亜種
主な手口でも触れた、なりすましメールはフィッシングの代表的な手口の一つです。それ以外にも、パソコンやスマートフォンに向けてウイルスへの感染警告画面やメールを装いリンクへ誘導する手口、高額商品に当選したなどの口実でリンクに誘導する手口もあります。
さらに、ソーシャルエンジニアリングの手法を用いて、攻撃対象を絞り精度を高めた攻撃をするスピアフィッシングという亜種も存在しており、こちらも企業や組織にとっての大きな脅威となっています。攻撃対象者の業務、興味や関心をあらかじめ調査し、業務関係者や興味をひく内容のメールでフィッシング詐欺に導く手法です。詐取する情報も見当がつけられており、詐取された場合には危険性が高い攻撃です。
ラテラルフィッシングの事例
ラテラルフィッシングの被害事例について、紹介します。
2019年にフィットネスジムを経営する企業がラテラルフィッシングと思われる被害を受け、お詫びとお知らせを行っています。テレビCMなどでも目にする有名な企業のメールアカウントが狙われ、取引先にむけて1648社2111件の迷惑メールが送信される被害がでました。
独立行政法人情報処理推進機構(IPA)に寄せられた情報をまとめた資料「コンピュータウイルス・不正アクセスの届出事例2019 年下半期」では、公共機関がラテラルフィッシングにあった情報が掲載されています。公共機関組織内の複数のメールアカウントを利用して、4万件以上のフィッシングメールが送信されたとされており、大きな被害が生じました。
ラテラルフィッシングは、攻撃の手法上メールアカウントを利用されていても気づいていないケースも考えられます。判明していない被害はより多数に及ぶでしょう。
ラテラルフィッシングの対策
ラテラルフィッシングはアカウントの乗っ取りが行われてしまった場合には見分けがつけにくく、防ぎづらい攻撃です。完璧な対策はありませんが、下記の対策を適用することでアカウントの悪用やラテラルフィッシングメールによる被害を減少させることが可能です。
ログインへの多要素認証の適用
ラテラルフィッシングにメールアカウントを利用されないようにするには、メールアカウントへのログインの認証を厳重にすることが有効な対策となります。アカウントIDとパスワードが何らかの理由で流出したとしても、他の要素での認証を組み合わせていることでアカウントが使用できないためです。
アカウントIDとパスワードの組み合わせの認証を用いている場合には、下記の認証要素を組み合わせて利用することでメールアカウントのセキュリティを高めることが可能です。
- 生体認証(顔認証、虹彩認証、網膜認証、指紋認証など)
- カードやICタグを用いた認証
- 電話番号やデバイスの固有番号を用いた認証
- ワンタイムパスワード
複数のセキュリティソリューションを組み合わせて導入
メールアカウントを悪用されていることに気づくには、ログインのセキュリティ強化に加えて複数のセキュリティソリューションを組み合わせる必要があります。
- 不正な通信の検知(EDR)
- メールのチェック(利用件数などを把握することで、不正なメールが送られている場合に認識可能)
- ログイン状況の監視(メールアカウントの利用状況は普段通りか)
- 従業員のWebアクセスの管理(不審なURLへのアクセス数が多い場合には検出が可能)
- Webフィルターによる外部への情報送信の管理
メールのリンクは可能な限りクリックしない
ラテラルフィッシングの場合、メールアカウントが乗っとられており、メールの差出人などでは見分けることはできません。メールの受信者として対応可能なのは、メールのリンクは可能な限りクリックしない事でしょう。
リンク先のURLを見て、普段利用しているサイトならばブックマークからのアクセスを行いましょう。リンク先がログイン画面となっている場合には疑ってみる必要がありそうです。また、見覚えのないサイトや身に覚えのない内容の場合も疑ってかかるべきです。
こうした不審なメールにありがちな特徴をまとめた資料はこちら。
まとめ
ラテラルフィッシングは企業や組織のメールアカウントを悪用し、そこからフィッシングメールを送信するサイバー攻撃の手口です。メールの送信元は正規のアカウントのため、フィッシングメールの受信者はフィッシングかどうかを判断するのが難しく、被害が拡大しやすい危険な攻撃といえます。根本的には、メールアカウントが悪用される状況を避けることが必要ですが簡単ではないため、ログイン認証の二重化や様々なセキュリティソリューションの導入などが有効です。
