Cloudflareが130億通の電子メールを分析 悪用される手口と企業組織ブランドは？

Cloudflareは約130億通の電子メールを分析して約2億5000万通の悪質メールをブロックすると同時に、その分析結果を公開した。偽装リンクやなりすまし詐欺が主な攻撃手法で、信用される企業になりすます例も多いという。

[後藤大地，有限会社オングス]

　Cloudflareは2023年8月16日（現地時間）、2022年5月から2023年5月までの間に収集した約130億通の電子メールを分析し、その結果を「2023年フィッシング脅威レポート」として公開した。

　同社は上記の期間で約2億5000万通の悪質な電子メールをブロックしたと明らかにした。報告書では、よく見られるフィッシングの手口やフィッシングに悪用された企業組織ブランドなども掲載されている。

Cloudflareは2023年フィッシング脅威レポートを公開した（出典：CloudflareのWebサイト）

フィッシング詐欺からの防衛策、Cloudflareの分析と対策提案

　Cloudflareが報告書で指摘した主な内容は以下の通りだ。

• サイバー攻撃者が最も利用するフィッシングの手口は不正なリンクだった。攻撃者はどのようにだまして不正なリンクをクリックさせるか、どのようにしてこれを武器として利用するかの改善に取り組んでいる
• 個人情報を窃取する手口としては、ビジネスメール詐欺（BEC）や企業組織ブランドへのなりすましなど複数の手法が見られた。Cloudflareはこれらの手口を利用することで電子メール認証（SPFやDKIM、DMARC標準など）を簡単に回避できると説明している。同報告書によると、SPFやDKIM、DMARCといった電子メール認証は企業組織ブランドのなりすましに有効と言われているが、迷惑メッセージの89％がSPFやDKIM、DMARCチェックを回避したという
• サイバー攻撃者はユーザーが信頼する企業になりすまして詐欺を働いている

　報告書によると、最も詐欺に使われた企業組織ブランドは以下の通りだ。

1. Microsoft
2. 世界保健機関（WHO）
3. Google
4. SpaceX
5. Salesforce
6. Apple
7. Amazon
8. T-Mobile
9. YouTube
10. MasterCard
11. Notion.so
12. Comcast
13. Line Pay
14. MasterClass
15. Box
16. Truist Financial Corp
17. Facebook
18. Instagram
19. AT&T
20. Louis Vuitton

　Cloudflareは「サイバー攻撃者は常に戦術を進化させており、メッセージの受信前から受信後の全てにおいて複数の保護レイヤーを導入する必要がある」とし、「電子メールは基本的にどのようなものであっても本質的に『信頼』できるものではない」と指摘する。同社はフィッシング被害を回避するための策として、以下を推奨する。

• ゼロトラストアプローチで電子メールを保護する
• クラウドメールに複数のフィッシング対策機能を追加する
• フィッシング詐欺に強い多要素認証（MFA）を採用する
• 人為的ミスの発生が起こりにくくなるようにする