エフセキュアは9月16日、企業向けフィッシング攻撃の模擬演習サービス「F-Secure Phishd」の国内提供を開始すると発表した。新サービスは2018年に買収したMWR InfoSecurityの技術がベースとなっており、既に世界で数百社が利用する実績があるという。
エフセキュア サイバーセキュリティ技術本部 シニアセールスエンジニアの目黒潮氏(左)と質疑応答を行ったF-Secure Consulting プリンシパルセキュリティコンサルタントのAntti Tuomi氏
サイバーセキュリティ技術本部 シニアセールスエンジニアの目黒潮氏は、Appleの共同創業者であるSteve Wozniak氏の「ハッキングは以前からあるもの、ヒューマンハッキングは人間がいる限りあるもの」というコメントを紹介。人が人をだますという行為の根深さや対策の難しさを指摘し、“だまされないように”という対策について「言うのは簡単だが、実行するのは困難」だと語った。
こうした認識を踏まえて提供される新サービスは、単に「ユーザーが怪しいメールを開いたか」「危険なリンクをクリックしたか」という数を測定して終わりというものではなく、「セキュリティ技術」と「セキュリティを意識したトレーニング」を提供することで「攻撃成功率の低下」を目指すという。
特徴を示すキーワードとして同氏が強調したのが「フルカスタマイズ」だ。これは、対象となる企業や組織の業務や主な取引先などを把握した上で、いかにも業務で受け取りそうなメールを偽装するなど、だまされやすい条件を整えた「フィッシングキャンペーン」を実施し、さらにキャンペーンの結果を分析してセキュリティトレーニングに続けていくというもの。標準価格は400万円で、追加キャンペーンの実施やオンサイトトレーニングなどはオプションで用意される。
F-Secure Phishdの標準サービスの内容
F-Secure Phishdの特徴と優位性
また、9月15日付けで「セキュリティ脅威のランドスケープ 2020年上半期」も発表された。2020年前半の脅威動向を、同社が設置したハニーポットなどで受信した攻撃トラフィックを解析、分析したレポートとなる。
F-SecureのTactical Defense Unit担当マネージャーであるCalvin Gan氏は、マルウェアの拡散手法が高度化している状況などを解説。例えば、高度化を続けるランサムウェアなどはランサムウェアとしての機能の高度化に専念し、拡散手法に関しては流行を続けるEmotetなどの他のマルウェアやダウンローダーの力を借りるなど、ある種の分業のような状況も見られると指摘した。
F-Secure Tactical Defense Unit担当マネージャーのCalvin Gan氏
また同氏は、日本では相変わらず見かける習慣である「添付ファイルをパスワード付きZIPで送り、別途パスワードもメールで知らせる」という手法のリスクについても指摘。パスワード付きZIPは、セキュリティソフトなどでは解凍できず、内部のチェックを行えないため、マルウェアなどが送られてきた場合にはチェックをすり抜けて受信ユーザーのエンドポイント上で解凍されてしまう可能性が高い。
フィッシングの手法と組み合わせて、業務上やりとりがある人からのメールだと誤認させることができれば、マルウェアをファイアウォールの内側に送り込むことが容易にできてしまうというわけだ。同氏は「攻撃者は日本企業の企業文化やセキュリティポリシーを理解した上で攻撃を仕掛けてくる」と指摘している。
