フィッシング攻撃:被害状況の検証

2019年8月5日

私が銀行業界のITエグゼクティブとして在職期間中、フィッシング攻撃の標的になってはいるものの、それ以上のことがわからない組織のフラストレーションを目の当たりにしました。すでに攻撃による被害がでているのか、それとも顧客にはほとんど影響を及ぼしていないのか、被害がどこまで及んでいるのか理解することができなければ復旧は困難です。さらに、銀行にある情報がブラックボックスソリューションによる警告だけでは、これから起こりうる同様のフィッシング攻撃から保護するのは困難でしょう。

私の経験上、銀行の顧客を標的とした避けることのできないフィッシング攻撃が発生した場合、銀行は通常、比較的迅速に攻撃を阻止するのに十分なセキュリティを備えています。しかし、攻撃というのはそれらが実行された直後が最も危険です。そして、その状況が処理される前の数分または数時間に被害者が出たのかという疑問は常に残ります。最近までそれを知る方法はなく、またその情報なしでは完全に攻撃を緩和することは不可能でした。

私が経験したことは、昨今多くの銀行が直面していることと非常によく似ています。ほとんどの組織は、詐欺のライフサイクル上の可能性のあるインシデントについて警告できる詐欺対策レイヤーに加えて、ある種のフィッシング対策ソリューションを採用しています。追加認証、異常アクティビティアラート、及びマルウェア検知は可能性のある詐欺について警告ができるセキュリティソリューションの一例です。フィッシング事件が発生するたびに、たくさんのライトが点滅し、通知が送信されます。しかし、セキュリティチームがどのフィッシングサイトで最も多くのユーザーが騙され、どのユーザーがクレデンシャルを入力してしまったかを認識できなければ、貴重な費用、リソースと人員をそれほど重要でないインシデントで無駄にしてしまうリスクを負うことになります。個々のユーザーがフィッシング攻撃の被害にあっているかどうかを確認する他のアラート及びデータのコンテキストにより、最もリスクの高い顧客に優先順位を付けるのに必要な観点を提供することが可能です。

多くのサイバーセキュリティソリューションは、顧客の口座からお金が盗まれて初めて本当に不正行為を検知するため事態を悪化させてしまいます。脅威を修復するソリューションは、お金が盗まれるまで反応できない、またはアラートを送信することさえできない場合がよくあります。盗まれた資金は、追跡されにくいように詐欺者によって作成された偽のアカウントを通過するため、その追跡には費用と時間がかかります。つまり資金が戻ってくるという保証は全くないのです。

口座から資金が盗まれる前に、組織が確認された攻撃による被害者が誰かを見分けられれば、セキュリティは大幅に向上します。お金が使いこまれてしまう前に修復できれば、より安く、時間をかけずにすみ、また顧客は組織の有意義で信頼できる評判を維持することになるでしょう。

金融機関に必要なのは、具体的にどのユーザーがフィッシングサイトにクレデンシャルを入力したかというセキュリティの盲点に光を当てることのできる不正防止ソリューションです。そうでなければ、誤検知、アラート疲れ、お客様への損害賠償は引き続き増加するでしょう。どの顧客が危険にさらされていて、その中で差し迫ったアカウントの侵害に直面している顧客が誰なのかを把握することで、見つけにくいデジタル犯罪者を突き止めなければならないことではなく、攻撃のキャッシュアウトフェーズそもそもが実行されるのを防ぐことができます。

このため、組織は次のような情報を提供できるセキュリティソリューションを探すべきです。

・テイクダウンの優先順位をつけられるよう、どのフィッシングサイトが多数のユーザーによってクリックされているかという情報
・どの被害者が自分の機密個人情報をフィッシングサイトに入力したかに関するデータ
・ドメインネームシステムでサイトが作成された直後に組織のブランドキーワードに類似したサイトを検知する機械学習

by Michael Lopez, Vice President of Operations