最近、日本を含むアジア各国で、金融、証券、銀行サービスの利用者を標的としたフィッシング攻撃が増加しており、それら企業から多くの被害が
報告されています。

注意すべき点は、これらの攻撃が単なるメールとして送信されるだけでなく、シナリオに沿った巧妙かつ組織的に仕掛けられており、一般利用者にとって
は判別が非常に困難であるということです。

一般的な攻撃シナリオ

1. 準備のフェーズ(偵察&準備

攻撃者は、正規の金融機関のドメイン名に似た名称(タイポスクワッティング)を使って、新たなドメインを登録します。次に、ユーザーを騙すために、
実際のサイトと非常に似たデザインやログインフォームを模倣したフィッシングサイトを作成します。そして、攻撃者はフィッシングメールや偽SMS、
さらにはSNS広告を利用して、この偽のサイトに誘導します。

2. 収集フェーズ(フィッシング&盗み)

ユーザーが偽のサイトにアクセスし、情報認証とOTPを入力すると、そのデータは攻撃者のサーバーに直接送信されます。 一部の攻撃では、RedLineVidarなどの情報を盗むマルウェアが使われています。これらは、ウイルスが仕込まれた添付ファイルや、不正にアクセスされたウェブサイトを通じて拡散され、ブラウザのクッキーや保存されたログイン情報を自動的に抜き取ります。

3. 攻撃実行フェーズ

攻撃者は収集した情報を悪用して、正規のシステムにログインし、不正な資産移動や株式の売買などの不正行為を行います。 OTPの情報がリアルタイムで
盗まれるため、高度なフィッシング対策がない場合、二要素認証を使っていても不正アクセスを防げないことがあります。

技術的観点からの分析:なぜ組織は簡単にこのような攻撃を受けてしまうのか?

内部セキュリティシステムが堅牢に構築されている組織であっても、以下の弱点が存在することで、依然として標的型フィッシング攻撃の機会を生み出し、攻撃に対して脆弱な状態にあります。

  • 類似ドメインの監視不足: 攻撃者は、組織の正規ドメインに酷似した「類似ドメイン(Lookalike Domain)」を登録し、数日間にわたり検知されることなくフィッシングサイトを運用することが可能です。Viettel Threat Intelligence(VTI)の調査によると、フィッシングドメインは通常、テイクダウンされるまでに3~7日間活動を継続しており、この期間は数百人のユーザーに深刻な被害をもたらすには十分な時間です。
  • ブランドなりすましの早期検知の失敗: 偽のウェブサイトが組織の認識なく存在している場合、顧客に対してタイムリーな警告を発することができません。ある東南アジアの大手金融機関では、2ヶ月間に20件以上の偽造ドメインが確認されましたが、その約半数はユーザーからの苦情を受けて初めて認識されたものでした。
  • フィッシング詐欺インフラのテイクダウンの遅延: 偽のドメインやサイトが発見されても、テイクダウンプロセスに時間がかかる場合があります。これは、確立された手順や信頼できるパートナーが不足しているためです。ドメイン登録事業者やホスティング会社への迅速な連絡経路がないと、削除までに
    数日、あるいは1週間ほどかかることもあります。
  • ユーザーへの事前通知の遅延:  多くの場合、組織は脅威アラート(Threat Alert)を受け取った後にその脅威に対処するための十分な時間がなく、
    その結果、ユーザーに対して進行中のリスクについて積極的に通知することが遅れてしまいます。

高度なフィッシング攻撃を防止し、対応するために何をすべきか

1. 金融機関、銀行、フィンテック企業などに対して:
  • 組織に影響を与える実際のリスクを定期的に評価するため、脅威インテリジェンスヘルスチェックを導入します。
  • フィッシング詐欺で悪用されているドメイン、IP、アプリケーション、ダークウェブ上で漏洩した内部アカウント、特定の脅威グループに狙われている
    デジタル資産など、組織を標的とした現実の脅威に関する定期レポートを作成・実施します。
  • 特定された各脅威の深刻度を分析し、最も緊急性の高いリスクにリソースを集中させ、タイムリーな軽減策を講じるために対応の優先順位を
    明確にします。
2. 脅威インテリジェンスを導入し、以下の活動を実行することで 攻撃インフラの継続的な監視、検出、および軽減を実現します:
  • 自社ブランドを模倣したフィッシングドメインの監視・検知とアラート発信。
  • 現在進行中のフィッシング攻撃の継続的追跡。
  • 既存のセキュリティシステム(SOC、SIEM、EDR)への統合のために、に資するIOCs(侵害インジケーター)、悪性URL、および情報窃取型マルウェアのハッシュ値をの提供。
  • なりすましドメインやフィッシングサイトの迅速な削除対応。
3. 脅威インテリジェンスのデータを活用し、顧客に対しセキュリティアラートを積極的に通知することで、潜在的なリスクから
顧客を守ります。
4. ユーザーのログイン挙動を監視し、異常を検知するシステムを導入します:
  • ユーザーのログイン挙動を追跡し、普段利用しないデバイスや地域からのログイン、通常とは異なる時間帯のアクセス、またはログイン直後のパスワード変更といった異常を検知します。
  • 不審なログイン挙動が検知された場合、システムは自動的に以下の対応を取ります。
    • ユーザーへのアラート発信
    • セッションの一時的なロック
    • 機密性の高い取引を許可する前に追加認証を要求

エンドユーザー向けの注意事項

お客様ご自身を守るために、以下の点にご注意ください。

1. 金融サービスのウェブサイトへのアクセスについて:

  • 金融サービスのウェブサイトにアクセスする際は、必ずアドレスを直接入力するか、公式アプリをご利用ください。
  • 提供元が不明なウェブサイトや、電話、Eメールに対して、OTP(ワンタイムパスワード)やログイン情報を提供しないでください。

2. ご自身のデバイスについて:

  • 信頼できるセキュリティソフトウェアを使用し、オペレーティングシステムやブラウザを常に最新の状態に保ってください。

3. 不審な投資話にご注意ください

  • あり得ないほど高利回りな投資話や、うますぎる話には注意してください。

Viettel Threat Intelligence からのメッセージ

Viettel Threat Intelligenceは、地域全体で標的型サイバー攻撃を綿密に監視しています。デジタルブランドとエンドユーザーを保護することは、
セキュリティシステムだけの責任ではありません。正確でタイムリー、かつ実用的なインテリジェンスが不可欠です。

Viettel Threat Intelligenceについて

Viettel Threat Intelligenceは、サイバーセキュリティのリーディングカンパニーであるViettel Cyber Securityが提供する、高度な
脅威インテリジェンスサービスです。

Viettel Cyber Securityのサービスは、お客様のセキュリティ体制を強化し、高度なサイバー脅威からビジネスを守ることを目的としています。

提供ソリューションとメリット

Viettel Threat Intelligenceは、企業や組織を支援するために、以下の多様なソリューションを提供しています:

  • フィッシング監視&テイクダウン: 正規ブランドに酷似したフィッシングサイトやドメインを早期に発見し、迅速な停止を支援します。これにより、お客様のブランドを悪用した詐欺行為を未然に防ぎます。
  • ブランド保護: オンライン上でのブランドの不正利用やなりすましを継続的に監視し、ブランドイメージの毀損や顧客の被害を最小限に抑えます。
  • IOCフィード(侵害インジケーターフィード): 最新の脅威に関する侵害インジケーター(IOCs)、悪性URL、および情報窃取型マルウェアのハッシュ値などをリアルタイムで提供します。これにより、お客様のSOC、SIEM、EDRなどの既存のセキュリティシステムとの連携を強化し、脅威検出能力を向上させます。
  • 脅威活動追跡: 特定の脅威アクターや活動中のサイバー攻撃について継続的に追跡し、その戦術、技術、手順(TTPs)を分析することで、お客様の
    防御戦略を最適化します。

これらのソリューションを通じて、お客様は以下の主要なメリットを享受できます:

  • 早期検知 ― 早期警戒 ― 迅速な対応: 脅威を早期に発見し、警告を発することで、迅速かつ効果的な能動的対応が可能になります。
  • 金銭的損失とブランドイメージの毀損を最大限に最小化: プロアクティブな対策と迅速なインシデント対応により、サイバー攻撃による経済的損害や企業の信頼失墜を防ぎます。

Viettel Cyber Securityの日本における総代理店
株式会社CyberZEAL
Email[email protected]
Web: https://www.cyberzeal.jp/