機械より人をだます方が早い 巧妙化する「二段階フィッシング」にご注意：半径300メートルのIT

手品師が心理誘導で“魔法”を見せるように、攻撃者もまた、人間の心理の隙を突く手法で巧妙な攻撃を仕掛けてきます。「二段階式フィッシング」や「ClickFix」など、システムでの検知が困難な人を狙う脅威について解説します。

[宮田健，ITmedia]

　小さいころから手品が好きで、魔法のようなことが目の前で起きるクローズアップマジックを見ると、これは本当に現実なのだろうかと思ってしまいます。その仕組みを調べていくと、どうも手品というのはあっと驚くような手先の器用さもさることながら、巧妙に仕組まれた心理学のようなテクニックがふんだんに使われていることが分かり、本当に驚いた記憶があります。手品師の動きは見るものの視線を誘導し、その裏で大胆に動くことで、私たちに文字通りの“魔法”を見せてくれるというのです。

　手品師になろうとは思いませんでしたが、その時にいろいろ調べた記憶はさまざまなところで活用できているようにも思えます。まさか、サイバーセキュリティと心理学が密接になるとは思いませんでしたが……。

攻撃者が仕掛けるトリックはさらに巧妙に

　あっと驚く“手品”のようなテクニックを使うフィッシングが報告されています。警視庁サイバー攻撃対策センター（アカウント名：警視庁サイバー）が「X」にポストした投稿では、新たに「二段階式フィッシングメール」なるものが登場していると報告しています。

　この手口は非常にシンプルかつ巧妙です。まず、1通目のフィッシングメールとして、あからさまに怪しい文面のメールが送られてきます。当然、皆さんならばこれを見抜くことができるでしょう。そして本丸は2通目。2通目は「社員に不審なメールが送信されています。受信状況を調査するので、ここから回答してください」というような、おそらくは日本語として申し分のないメールが届きます。しかしこれこそが、攻撃者が本当にリンクを踏ませたい、フィッシングメールだというのです。

サイバー攻撃対策センターによる投稿（出典：X投稿）

　この「二段階式フィッシングメール」、筆者は受け取ったことはないのですが、この方法でメールを送ったとしたならば、フィッシングメールに耐性のある人ほどだまされるように思えます。あえて偽と分かるメールを送っておき、その比較だけで考えれば、2通目は本物だと信じてしまう人も多いでしょう。これまで本コラムでも「フィッシングメールは見分けようとするな」と述べていますが、その考え方を意識していたとしても、2通目をフィッシングであると判断し切れそうにないかもしれません。

　この方法はおそらく、従業員向けとしてカスタマイズされたキャンペーンかと推測します。システム担当によるメールであると信じ込ませることができれば、成功率も上がるでしょう。攻撃者はその成功率こそがKPIです。こういう手法もあると強く印象を残しておかなければ、いつかだまされてしまうかもしれません。

「心理」を攻略すべく、攻撃のテクニックは向上していく

　ここ数年で、プログラムや機械の脆弱（ぜいじゃく）性を狙うものが増えると同時に、人間そのものを狙う攻撃手法が進化していると考えています。これはPCの脆弱性対策が進んだこと、EDRをはじめとする各種セキュリティ対策が進んできたからかもしれません。それに加えて、攻撃者は「機械よりもそれを操作する人を攻略する方が、成功率が高い」と考えている可能性もあります。

　特に最近、巧妙だと感じたのは「ClickFix」です。さまざまな方法でエラー画面のようなものを出し、「Windowsキー＋R」「Ctrl+V」「Enter」を順番に押せという指示を与え、利用者自らにマルウェアをインストールさせる手法です。これも、知らなければ対策がしにくく、かつこれまでのセキュリティソリューションでも防ぐことはもとより、検知も難しいという、非常に狡猾な手法です。

• たったこれだけでマルウェアに感染？　“古くて新しい”サイバー攻撃の手口：半径300メートルのIT - ITmedia エンタープライズ

　ClickFixにマルウェアがインストールされた場合、システムは攻撃者の完全な制御下に置かれるものと想定されます。ランサムウェアを入れてシステムを破壊するもよし、遠隔操作の仕組みを入れ込んで情報漏えいや盗聴をするもよし。一番怖いのは、認証情報を盗み出し、以後は正規の入口から堂々と入ってくることです。盗んだ正規アカウントは高く売れます。そのきっかけは、狡猾ながらシンプルな「Windowsキー＋R」「Ctrl+V」「Enter」のような操作だけ。人は誰でも騙される可能性がありますが、ClickFixに関しては、できれば最初の段階でユーザーが怪しさに気付けるかどうかにかかっています。

　人に対するパッチは当てられないので、これらの攻撃から身を守るためには、地道な「教育」しかないと考えています。サポート詐欺などについても同様ですが、やはり全従業員にこれらの手法を知ってもらうため、今後の教育をアップデートしていく必要があります。 かつてメールセキュリティ対策で実施していたようなオンライン研修で、新しいフィッシングやClickFixの画面を見せ、脅威を身近に感じてもらう工夫が必要だと思います。

情報システム部から全社に伝える手段も変えていかねばならない？

　難しいのは、正しいとされるチャネルがどんどん侵害されつつあり、メールもチャットも「相手は本物？」というのを考えなければならなくなっていることです。先のClickFixも、かつてはその説明の中で「ClickFixはあなたがロボットでないことを証明せよ、というような偽画面から」という表現があったかもしれませんが、実際はそれに限りません。偽広告のケースもありますし、サポート詐欺のようなブルースクリーンの画面でも、チャットやメールのリンクから始まる場合もあるでしょう。

　となると、本当に伝えたいことがあったとき、相手がそれを信用してもらうためのステップが、社内であっても必要になるかもしれません。攻撃が激化することで守る側のコストが高くなるのは不本意ではあります。しかし、銀行などがフィッシング対策でメールやSMSにURLを載せなくなったように、社内においても同様の方法を使って、メールでリンクを送ること自体を控えるという対策もあり得ます。これは企業版振り込め詐欺ともいえる、CEO詐欺対策にも通じることです。連絡手段の精査を、新しいフィッシング対策として検討してほしいと思います。

　そして何より、私たち一人一人がサイバー空間の厳しい現状を理解し、企業に対する攻撃も自分ごととして考え、「われわれこそが対策の要である」という自覚を持つことが必要だと思っています。人が攻撃されていることを知り、もはやアンチウイルス的機能だけでは足りず、協調し結束して脅威から身を守らねばならないことを理解する。そこからでしかできない対策がたくさんあります。

　サイバー攻撃は日々変化しています。私たちの資産を守るため、ぜひもう1歩、2歩踏み込んだ対策をとっていただければと思います。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。