企業のフィッシング対策:受け身の防御から能動的な攻めへ
企業セキュリティに携わって数年、フィッシング攻撃は最も頭を悩ませる問題の一つです。
技術的に高度だからではありません。むしろその逆で、フィッシング攻撃は「低コスト・高リターン」すぎるのです。攻撃者は数千円でドメインを一つ取得し、ログインページをコピーして、数万通のメールをばらまけば、必ず何人かは引っかかります。一方、防御側にとっては、たった一つのミスで企業全体の機密データが漏洩しかねません。
この記事では大きな理論は語りません。私たちのチームがこの数年で蓄積してきた実践的なノウハウをお伝えします。
厳しい現実
まずデータを一つ。Verizon のレポートによると、セキュリティインシデントの 68% に人的要因が関与しています。フィッシング攻撃がこれほど有効なのは、システムではなく「人」を攻撃するからです。
システムにはパッチを当て、Firewall を設置し、隔離もできます。しかし人はどうでしょう?人は疲れるし、焦るし、間違えます。
技術責任者がフィッシングメールに引っかかり、コードリポジトリの権限を奪われたケースも見てきました。経理部長が「社長」からの緊急指示で数百万円を振り込んでしまったケースも。彼らは愚かなわけではなく、むしろ社内で最も慎重な人たちでした。しかしフィッシング攻撃は心理戦であり、判断力が低下する瞬間は誰にでもあります。
だからこそ、研修だけですべてを解決しようとしないでください。研修には効果がありますが、それだけでは全く不十分です。必要なのは、包括的な防御体制です。
防御体制のあるべき姿
フィッシング対策は、単一のポイントで防御できる問題ではありません。複数の側面から構築する必要があります。
第 1 層:脅威の発見
フィッシングサイトが公開された瞬間に発見できるかどうか。
これが防御体制全体の出発点です。従業員がフィッシングメールを受け取ってから、顧客が被害に遭ってからでは、もう手遅れです。
私たちが脅威発見に活用しているチャネルは主に以下の通りです。
Certificate Transparency ログの監視 最近のフィッシングサイトはほぼすべて HTTPS を導入しています。攻撃者が証明書を申請すると記録が残ります。CT Log を監視すれば、証明書発行から数分以内にアラートを受け取れます。
この手法は「ブランド名 + キーワード」型のなりすましドメインに特に有効です。例えば自社が example.com であれば、攻撃者が example-login.com や examp1e.com を登録した際に、CT Log で即座に検知できます。
Typosquat スキャン 自社のコアドメインに対して、定期的にあらゆるバリエーションをスキャンします。スペルミス、同音異字、サフィックスの追加……これらの可能性をすべてカバーします。
検索エンジンの監視 フィッシングサイトの中には、検索エンジンの広告を購入したり、SEO で上位に表示させたりするものもあります。自社のブランドキーワードを定期的に検索し、結果に不審なものがないか確認しましょう。
第 2 層:従業員の保護
これは最も馴染みのある部分ですが、十分にできていない企業が多いのが実情です。
メールセキュリティゲートウェイはブラックリストだけに頼らない 従来のメールゲートウェイは、既知の悪意ある URL や IP のブラックリストに依存しています。問題は、攻撃者がドメインを変更するのに数分しかかからず、ブラックリストは常に後手に回ることです。
より良い方法は、行動分析を組み合わせることです。例えば:
- 送信元ドメインが新規登録されたもの?→ スコア加算
- メールに緊急を煽る文言がある?→ スコア加算
- 添付ファイルが暗号化 ZIP?→ スコア加算
- リンクが複数回リダイレクトする?→ スコア加算
スコアが閾値を超えたらブロックまたはフラグを付けます。
模擬フィッシング訓練 年 1 回の研修だけでは効果がありません。受講してもすぐ忘れてしまいます。より効果的なのは、不定期に模擬フィッシングメールを送信し、実際のシナリオで識別能力を養うことです。
ただし注意点があります:
- あまりに悪質な手口は使わない。従業員が「騙された」と不信感を抱きます
- クリックした人には教育を提供する。罰則ではありません
- 統計データは研修の改善に使う。人事評価には使わない
手軽な報告メカニズム 不審なメールを受け取ったら、ワンクリックで報告できるようにしましょう。メールクライアントにプラグインを導入し、クリック一つでセキュリティチームに送信。報告した人にはポジティブなフィードバックを返し、「報告することに意味がある」と実感してもらいます。
第 3 層:顧客側の保護
多くの企業は従業員の保護だけに目が行き、顧客の保護を忘れています。
攻撃者が自社ブランドを騙って顧客を詐欺した場合、失われるのは顧客のお金と自社への信頼です。ブランドイメージへのダメージは、直接的な金銭的損失よりも大きいことがあります。
顧客をどう守るか?
公式サイトに防護スクリプトを導入する 一部のセキュリティベンダーは JavaScript SDK を提供しており、ページが iframe に埋め込まれたりクローンされたりしていないかを検知できます。異常が検出されたら即座に報告します。
明確なブランドセキュリティガイドラインを設定する 顧客に以下を伝えましょう:
- 公式ドメインはこれです
- 公式から SMS でパスワード入力を求めることはありません
- 公式メールの真正性を確認する方法はこうです
すべての公式コミュニケーションチャネルでブランド識別を強化する メール署名、SMS テンプレート、アプリのプッシュ通知……統一された識別マークを使用し、顧客に「これが公式だ」という認知習慣を形成してもらいます。
第 4 層:迅速な対応
脅威を発見した後は、スピードが命です。
フィッシングサイトの平均存続期間は 24〜48 時間です。この時間枠内にサイトをテイクダウンできれば、被害者の数を減らせます。
証拠収集の自動化 不審なサイトを発見したら、まずスクリーンショットの取得、ページソースコードの保存、IP と WHOIS 情報の記録を行います。これらの証拠は後の通報で必要になります。手動では遅すぎるので、自動化すべきです。
複数チャネルでの並行通報
- Google Safe Browsing に通報し、Chrome で警告を表示させる
- ドメインレジストラに Abuse 報告を送信する
- ホスティングプロバイダーにテイクダウン要請を送信する
- 該当国の規制当局にも報告する
一つのチャネルだけに頼らないでください。同時並行で進め、先に対応してくれたところの成果を活かします。
記録と振り返り すべてのインシデントについて、完全なタイムラインを記録します。いつ発見したか、いつ対応を開始したか、いつテイクダウンしたか、影響範囲はどれくらいだったか。蓄積されたデータは、プロセスの最適化や投資判断に活用できます。
よくある落とし穴
私たちが経験してきた落とし穴をいくつか共有します。同じ轍を踏まずに済めば幸いです。
落とし穴 1:特定のツールへの過度な依存
銀の弾丸は存在しません。市場で「フィッシング問題をワンストップで解決」と謳う製品のほとんどは、特定の工程しかカバーできません。CT Log 監視が優れていてもテイクダウン機能がなかったり、メールセキュリティが優れていても顧客側の保護ができなかったり。
必要なのは複合的なアプローチ、複数のツールを組み合わせた運用です。
落とし穴 2:メールだけに注目し、他のチャネルを見落とす
フィッシング攻撃はメールだけではありません。SMS(Smishing)、インスタントメッセージ、QR コード、ソーシャルメディア……攻撃者はあらゆる経路から侵入を試みます。
セキュリティチームの視野は十分に広く持つ必要があります。
落とし穴 3:セキュリティチームと事業部門の断絶
フィッシング攻撃はブランドイメージや顧客の信頼に関わる問題であり、単なる「技術的な問題」ではありません。セキュリティチーム、マーケティングチーム、カスタマーサポートチームには連携体制が必要です。
例えば、大規模なフィッシング攻撃が発覚した際には、カスタマーサポートチームが顧客からの問い合わせに対応するトークスクリプトを事前に準備する必要があるかもしれません。
落とし穴 4:事後の振り返りをしない
インシデント対応が終わってホッとして、それで終わり。
しかし、すべてのインシデントは学びの機会です。攻撃者はどんな新しい手口を使ったか?対応のどこをもっと速くできたか?自動化できるプロセスはないか?
おわりに
フィッシング対策は長期戦です。攻撃者は進化し続け、防御側もそれに合わせて進化しなければなりません。
良いニュースは、この戦いは受け身でいるしかないわけではないということです。脅威を能動的に監視し、迅速にインシデントに対応し、プロセスを継続的に改善する——これらを実行すれば、リスクを許容範囲内にコントロールできます。
もしチームでフィッシング対策の強化を検討されているなら、ぜひ OpenBait をご覧ください。私たちは、企業がより早く脅威を発見し、より迅速に対処できるよう支援しています。
ご質問があればお気軽にご連絡ください:[email protected]
この記事は OpenBait チームの実践経験に基づいてまとめたものです。転載歓迎、出典の明記をお願いいたします。