ポストペリメター世界におけるフィッシングの脅威

モバイル端末は今や企業の境界線の外のデータにアクセスしており、攻撃者もその点に注目しています。Lookout がモバイル ファースト、クラウド ファーストの世界でどのように攻撃に対する保護を実現しているかをご覧ください。

リサーチ

データ漏洩による財務コストは平均で 386 万ドル¹

フィッシング攻撃がメール以外へとターゲットを広げて進化している今日、モバイルなどあらゆるエンドポイントを標的としたフィッシング攻撃の早期検出はますます重要になりつつあります。攻撃者も同様の傾向を見せています。2019 Verizon Mobile Security Index によれば、モバイル端末に対するフィッシング攻撃の 85% はメール以外を標的にしています。多くの組織でメールをベースとした攻撃をブロックするためにフィルターを設けている一方、こうした他の経路に対して同様の保護対策を行っている組織ははるかに少ないのが現状です。”

1. 出典: IBM, Cost of a Data Breach Report 2019


ホワイトペーパー レポートをダウンロード

モバイル フィッシング キル チェーンの 5 つのリンク

モバイルと PC の両方をターゲットとする攻撃者は半数以上にのぼり、フィッシング攻撃はモバイル ユーザーとその従業員や職員に対する危険な脅威となっています。攻撃の仕方はそれぞれ違いますが、機密性の高い企業データを盗むという最終目標は共通しています。Lookout の調査では、ユーザーが悪意のある URL をクリックする可能性は、モバイル端末の方が 3 倍も高いことが示唆されています。「ペガサス」攻撃で見られるように、たった 1 回の誤ったタップで攻撃的な監視ウェアによりモバイル端末が侵害されてしまうのです。

Mobile Phishing Killchain Infographic

モバイル端末をフィッシングする手段は数多くあります

悪意のあるネットワークのアイコン

悪意のある広告ネットワーク

アプリは、バックエンドで広告ネットワークなど他のサービスと通信するために URL を使用します。アプリが悪意のある URL にアクセスすると、ユーザーに悪意のある広告キャンペーンが表示される恐れがあります。

個人メールのアイコン

個人メール

個人メールは攻撃者の格好のターゲットです。個人メールのプロバイダーは標準タイプのフィッシング保護策を講じていますが、攻撃者はこうしたテクノロジーをすり抜け、社員をだまして機密データを抜き取ってしまうのです。

メッセージのアイコン

メッセージング プラットフォーム

Dark Caracal のような攻撃者は、WhatsApp、Facebook Messenger、Instagram などのアプリのメッセージング プラットフォームを利用して、ユーザーに「Pallas」などのスパイウェア プログラムをダウンロードさせてきました。

SMS のイメージ

SMS

犯罪者は次のようなフィッシング メッセージを送りつけてきます。“これ、あなたの写真じゃない?チェックしてね。” こうしたメッセージは SMS を通じて送られ、被害者はマルウェア、特に監視ウェアをダウンロードさせられます。

企業メール

企業メールはよく標的にされますが、通常、組織のセキュリティ管理者は企業メールのアカウントの保護に重点的に取り組んでいます。しかし、数字が示すように、企業メールを保護することが総合的なソリューションではありません。

フィッシングは世界中で最大のサイバーセキュリティ リスク

モバイル フィッシングに関する Lookout 独自の研究により、多数の攻撃者が世界中で特定されました。その中には、モバイル フィッシングに特化して 21 か国以上で 600 を超える携帯電話に不正アクセスした、Dark Caracal の背後に潜む国家主導のグループも含まれています。サイバー兵器ディーラーである NSO グループが販売していた、ワンタップ リモート ジェイルブレイク プログラムの Pegasus でさえ、被害者が SMS 内のフィッシング メッセージをタップすることが必要でした。FrozenCellxRATViperRATSocialPathXsser/mRAT はすべて、フィッシングを起点とするモバイル脅威です。


フィッシング サイトを検知できますか?

モバイル上のフィッシングを見た目で特定することは極めて困難です。フィッシングの攻撃者が作成するインターフェースは正規のサイトと実質的に同一です。これこそが、モバイル フィッシングが企業にとって重大なリスクとなっている大きな理由です。’

  • Dropbox

    A または B を選択してください。画像をクリックすると拡大できます。

    A
    B

    本物

    偽物

    ご覧ください。

    これら 2 つの Dropbox のログイン画面の相違点は、とても些細なものです。主な違いといえば、画素数と会社のロゴ、2 つのサインイン ボタンの色の違い、そして Google サインイン ボタンに “G” が欠落していることくらいです。そうした点を除くと、この Web サイトが本物のサイトか、フィッシング サイトかをモバイル上で見分けるのは極めて難しいということを示す好例です。

  • Google

    A または B を選択してください。画像をクリックすると拡大できます。

    A
    B

    偽物

    本物

    ご覧ください。

    ここには、Google のログイン ページをよく利用する人なら気づくであろう、いくつかの相違点があります。まず、ログイン モジュールの上にある言葉が異なります。“Sign in to continue to Gmail (Gmail にはサインオンが必要です)” に対して、 “One account.All of Google (1 つのアカウントですべての Google を)” になっています。こうした違いは、アカウントでログインすることに集中しているユーザーにとっては、あまり警戒心を抱かせるものではありません。次に、本物のページには “Find my account (アカウントの検索)” というコール トゥ アクションが表示されますが、偽ページでは “Need help? (お困りの場合)” と表示されます。最後に、Google の他の製品すべてがリストされる “One Google Account for everything Google” のセクションが、偽ページにはありません。かなりの省略が見られますが、印象に残るほどではありません。ログインしようと急いでいる人が、自分の資格情報を入力してしまうことは十分に起こりえます。

  • Office 365

    A または B を選択してください。画像をクリックすると拡大できます。

    A
    B

    本物

    偽物

    ご覧ください。

    これら 2 つはまったく別物ですが、どちらも本物らしく見えます。エンドユーザーは、一般的な Microsoft のログイン ページを知らなければ、偽ログイン ページの Office 365 のロゴ (“本物の” Microsoft のロゴのように見える) や、ページ下部の著作権情報に騙される可能性があります。利用者に違和感を与える主な要素は “仕事または学校のアカウント” を求めるプロンプトです。句読点などはなく、ログイン情報の上方に異様に浮いています (これにはユーザー名とパスワードの両方のフィールドが含まれていますが、本物の Microsoft のログイン ページでは、最初はメールアドレスまたは電話番号フィールドだけが表示されます)。

Lookout Phishing & Content Protection

Lookout は、Android および iOS 端末上のモバイル フィッシングに対する総合的な保護を提供し、複雑に入り組んだモバイルの世界で企業データの安全性を確保します。

フィッシング保護対策をモバイルにも

ほとんどのフィッシング攻撃は今やモバイル端末が起点となっています。Lookout は強力な防御線を提供します。

規模を拡大した総合的な保護対策

SMS、メッセージング プラットフォーム、企業メールや個人メールに加え、アプリに隠れている悪意のある URL など、あらゆるベクトルのフィッシング攻撃からモバイル端末を守ります。

管理者にコントロールを提供

管理者は悪意のある URL へのアクセスをブロックし、危険な Web サイトをユーザーに警告し、フィッシング行為に対する保護ポリシーを設定し、保護が有効になっていない場合はコンプライアンス違反としてその端末をチェックすることができます。

デジタル トランスフォーメーションを可能に

従業員がファイアウォール内にいるかどうかにかかわらずコンテンツ保護を提供することによって、企業は自信を持ってスマートフォンを業務で活用することができます。

Lookout に問い合わせやデモのリクエストができます。

お問い合わせ call_made