スプーフィングとは何か?
なりすましは、悪意のある通信を正当な送信元から発信されたメッセージに偽装するサイバー攻撃です。脅威者は、実際のユーザーになりすまして権限を与え、重要なビジネスデータへの特権的なアクセスを得ることで、この手法を実行します。なりすましは、なりすましそのものとソーシャル・エンジニアリングという2つの重要な要素に依存しています。
なりすましとは、企業の重役のような権威のある信頼できる情報源から発信されたように見せかけた電子メールやテキストメッセージのことです。同様に、ソーシャルエンジニアリングは、被害者を欺き、フィッシングURLや不正ダウンロードのような悪意のあるアーティファクトとやり取りさせる。
スプーフィングの仕組み
脅威者は主に、ターゲットの情報にアクセスするために電子メールのなりすましを使用します。通常、なりすましメールの内容は、ターゲットの貪欲さや恐怖心を利用した緊急性やメッセージ性を伝えるものです。
スプーフィングの例
例1
あなたの会社のCEOから、ソーシャルメディアの投稿が会社の評判を下げているので削除してほしいという緊急メールが届いたとする。最初の直感は、リンクをクリックして投稿を見ることです。しかし、残念なことに、クリックした先は、あなたの情報を盗む不正なウェブサイトでした。
例2
攻撃者は、1earn.g5.com(正規のlearn.g5.comに似ているが、lの文字を数字の1に置き換えたドメイン)のように、貴社に似たドメイン名を登録することでドメインを偽装します。
例3
なりすまし電話もなりすましの一種です:電話をかけてきた相手が銀行の担当者を装い、口座やクレジットカードの情報を要求します。なりすまし詐欺師は、ソフトウェアを使って発信者番号を模倣し、偽の電話をより信用できるように見せかけることができます。
なりすまし攻撃の種類
電子メール
電子メールは、脅威行為者にとって主要な攻撃手段です。電子メールスプーフィングでは、脅威者は電子メールヘッダを偽造し、電子メールメッセージの発信元を変更します。電子メールヘッダを偽造することで、ターゲットは電子メールメッセージが信頼できるベンダーやクライアントから発信されたものであるかのように騙されます。最も成功しているメールスプーフィング攻撃の中には、ビジネスメールの侵害や中間者攻撃の攻撃戦術やテクニックを取り入れて、持続性を高め、検知を回避するものがあります。
IP
IPスプーフィングでは、攻撃者は偽の送信元アドレスでIPパケットを送信する。こうすることで、ハッカーは本当の身元を隠し、別のコンピュータになりすます。IPスプーフィングは、DDoS攻撃を仕掛けるために頻繁に使用される。
DNS
キャッシュポイズニング」とも呼ばれるDNSスプーフィングは、DNSレコードを変更し、意図した宛先に見せかけた偽のウェブサイトにトラフィックをリダイレクトさせる攻撃である。
アープ
ARPポイズニングとしても知られるアドレス解決プロトコル(ARP)スプーフィングは、データトラフィックを傍受します。ARPスプーフィング攻撃は、あるデバイスを欺き、正当なユーザーではなく脅威行為者に信号を送信させます。
スプーフィング攻撃を防ぐには
なりすましソフトを使った攻撃は、事業継続に壊滅的な影響を与える可能性があります。以下のテクニックとベストプラクティスは、なりすましインシデントから企業インフラを守るために有効です。
健全なサイバーセキュリティ文化の構築
企業環境内で健全なサイバーセキュリティ文化を醸成することは、サイバーセキュリティの課題に取り組む最も効果的な方法の1つです。IT セキュリティ・チームは、なりすましなどの脅威行為者の手口に対する検知、予防、および是正のための対策についてユーザを教育するための強固なセキュリティ意識向上プログラムを開発することができます。一貫した効果を得るためには、セキュリティ意識向上トレーニングは、進化するサイバー脅威の状況に合わせて継続的に実施する必要があります。
ディープパケットインスペクションとパケットフィルタリングを使用する
IPパケットはパケットフィルタリングによって分析され、ソース情報が競合するものはブロックされる。敵対的なパケットは(ヘッダーの主張にもかかわらず)ネットワークの外部に到着するため、これは偽装IPパケットを排除するためのインテリジェントなアプローチである。さらに、攻撃者は基本的なパケットフィルターを回避する戦略を持っているため、ほとんどのパケットフィルターシステムにはDPI(Deep Packet Inspection)機能が含まれています。DPIの助けを借りて、ネットワーク・パケットのヘッダーとコンテンツの両方を考慮したルールを作成することができ、これにより様々なタイプのIPスプーフィング攻撃をブロックすることができます。
ユーザーとシステムの識別と検証
IPスプーフィングは、ネットワーク上のマシンが識別のためにIPアドレスのみを利用する場合、認証制御を回避することができるテクニックである。その代わりに、IT チームは自動化されたセキュリティ・メカニズムを活用して、相互証明書認証、IPSec、ドメイン認証などの認証プロセスを導入し、ユーザーとシステム間の接続を認証する必要がある。
認証および暗号化されたプロトコルを使用する
セキュリティの専門家は、HTTPSやFTPS(SSH)で使用されるSecure Shell、Internet Protocol Security、Transport Layer Security(TLS)など、いくつかの安全な通信プロトコルを作成しました。これらのプロトコルが正しく実装されていれば、接続先のアプリケーションやデバイスを確認し、転送中のデータを暗号化することで、なりすまし攻撃が成功する確率を下げることができます。
ZTNA(Zero Trust Network Access)は、なりすましやソーシャル・エンジニアリング攻撃を防ぐことができます。CylanceGATEWAY™は、脅威者がネットワークにアクセスして横方向に移動し始める前に、ネットワークを保護します。
関連リソース
データ損失防止(DLP)
エンドポイントセキュリティ
エンドポイント・プロテクション・プラットフォーム(EPP)
エンドポイント検出と応答(EDR)
エクステンデッド・ディテクション&レスポンス(XDR)
アイデンティティとアクセス管理(IAM)
マネージド・ディテクション&レスポンス
マネージドXDR
MITRE ATT&CK フレームワーク
モバイル脅威防御(MTD)
ユーザーとエンティティの行動分析(UEBA)
ゼロ・トラスト・アーキテクチャ
ゼロ・トラスト・ネットワーク・アクセス(ZTNA)
ゼロ・トラスト・セキュリティ
セキュリティ情報・イベント管理(SIEM)
セキュアアクセスサービスエッジ(SASE)