ウェビナーフィッシングの進化と私たちの戦い方

DMARC
この記事は約40分で読めます。

ナイジェリアの王子を超えて

2017年、FBIはビジネスメールの漏洩による損失が2016年と比較して88%増加したと推定している。しかし、多くのエンドユーザーはいまだにフィッシングといえばナイジェリアからの典型的なメールを連想する。

このウェビナーでは、dmarcianの創設者であるTim DraegenとGreatHornのCEOであるKevin O’Brienが、広範なナイジェリアの王子詐欺から今日の洗練されたかつ高度にターゲット指向のスピアフィッシング脅威までのフィッシング攻撃の歴史を詳しく説明します。

フィッシングの脅威が変化する中で、私たちがどのように哲学的アプローチを最新に保つかを探り、私たちが使用するテクノロジーがどのように進化してきたかを議論する。最後に、認証フレームワーク、リレーションシップ・グラフ、機械学習など、組織がフィッシング対策として考慮すべき多角的なアプローチと、それらの連携方法について紹介する。

このウェビナーでは、以下のことを理解していただけます。

  • 今日の最も悪質な脅威
  • レガシー・ツールの長所と短所
  • これらの脅威に対処するための新しいアプローチ

「フィッシングを防御するためのこれまでのアプローチは、ウェブサイトのセキュリティやファイアウォール/境界ベースの防御に重点を置いてきた。フィッシングに対する効果的なアプローチとは、新しく優れたネズミ捕りではなく、環境の変化に対応するためのより良いビジネス・プロセスを取り入れることであり、個人がより良いツールやトレーニングを受けられるようにすることである。

様々な関係にある複雑なものを、守るべき静的な資産のように扱うのではなく、この新しいアプローチは、人々が組織内でどのように行動し、組織が(その業界を超えて)オンラインでどのように活動するかに焦点を当てる。フィッシングへの効果的な対応は、これまでのアプローチを基礎とし、人々のダイナミックな性質と、組織が自分たちの壁をはるかに超えてオンラインでやりとりしているという事実を認識するものである」。 – ティム・ドレイゲン、dmarcian創設者

以下はその書き起こしである。

ロリータ・バ

皆さん、こんにちは。 本日はウェビナー「ナイジェリアの王子様を超えて:フィッシングの進化と私たちの戦い方」にご参加いただきありがとうございます。私はロリータ・バです。 本日は、GreatHornのCEOであるケビン・オブライエンと、弊社のパートナーであるdmarcianのCEOであるティム・ドレイゲンとともに、GreatHornのマーケティング担当副社長を務めています。 ウェビナーを始める前に、少し説明をさせてください。 ウェビナーの所要時間は約40分から45分です。 ウェビナー中はミュート状態になりますが、画面の右側にあるQ&Aパネル(go-toウェビナー・コントロールパネル)からいつでも質問を送信することができます。このウェビナーは録画され、スライドと同様、すべての登録者が再生できるようになります。 それでは、ケビンから簡単な自己紹介があり、続いてティムからも自己紹介があります。

ケビン・オブライエン

ありがとう、ロリータ。 お会いできてうれしいです。 ケビン・オブライエン、GreatHornのCEO兼共同設立者。 会話を楽しみにしています。 略歴を少し。 私はサイバーセキュリティ分野のシリアルアントレプレナーです。 約20年間、この仕事をしています。 今日は、Eメール・セキュリティの脅威の進化についてお話しします。 ティムとご一緒できることをとても楽しみにしています。 ティム、自己紹介もお願いします。

ティム・ドレーゲン

ありがとう、ケビン。 dmarcianのCEO、ティム・ドレイゲンです。 本日はご清聴ありがとうございます。 今日は特別な日です。このウェビナーは、GreatHornとdmarcianの初めてのコラボレーションです。 両社はともにEメール業界に参画していますが、そのやり方は非常に異なっています。ですから、一緒にパートナーを組み、ノートを比較することで、すでに本当に素晴らしい洞察が得られていますし、このウェビナーでこれを共有することで、私にとっても、そしてできれば皆さんにとっても、今日は特別な日になると思います。 さて、次のスライドです。

今日は私がキックオフを務める。 これが私自身だ。 これは赤ん坊の頃の写真で、自分の未来の水晶玉を覗いている。 この頃は、こんなに長い時間をEメールに費やすことになるとは思ってもみなかった。 赤ちゃんが泣きそうになっているのではなく、畏敬の念を表しているのだと思いたい。 少なくとも私はそう思いたい。 私はソフトウェア・エンジニアだ。 人生の最初の30年間ほどをシリコンバレーで過ごし、最も困難な技術問題に取り組んできた。 妻と私がゆっくりして家庭を持とうと決めたとき、私は当然のようにEメール会社に就職した。 これは2000年代初頭の話だ。 冗談のつもりだった。 金曜の午後にビールで乾杯したとき、私は副社長に引き止められ、世界最高のアンチスパムフィルターを作るという会社の計画について意見を求められた。 当時、同社は電子メールを送信するための超高速プラットフォームを持っていた。 当時、人々はセキュリティの重要性に気づき始めたばかりだった。 そこで、スパム対策ソリューションでこの企業向けセキュリティ市場に参入してはどうだろう? 簡単に儲かる。

見てみよう。 当時、私は 「大儲けはできるだろうが、問題は解決しない というようなことをその場しのぎで言った。 当時、私が考えていた問題は、基本的なEメールのアイデンティティの問題だった。 人々はメールの断片が本物かどうかを簡単に見分けることができない。 この場当たり的な発言がきっかけとなり、私は業界横断的な大規模な取り組みに参加することになり、2012年頃にようやくDMARCの技術仕様が公開されました。 それ以来、私はDMARCを世に広めるために全力を尽くしてきました。 しかし、今日のウェビナーはDMARCがすべてではありません。 次のスライドをご覧ください。

私が今でも苦労しているのは、今日の世界における電子メールの規模と範囲だ。 誰もがいつも、どこでも電子メールを使っている。 その規模は、いまだに気が遠くなるほど大きい。 電子メールの規模は、水道や電気のようなユーティリティと同じレベルだと思いますが、電子メールを複雑にしているのは、電子メールが単一のものではないということです。 電子メールを複雑にしているのは、電子メールが単一のものではないということです。電子メールは、すべての部品がどのように相互運用できるかを記述した、巨大な技術仕様の山だと考えた方がよいでしょう。 私が思うに、Eメールを美しくしているのは、誰もが独自のバージョンの部品を作ることができ、それを既存のエコシステムと組み合わせることができるということだ。 その結果、世界最大のオンライン・コミュニケーション・メディアとなった。 そうでなければ、私はとっくの昔に発狂していただろう。

さて、このような背景を踏まえた上で、このウェビナーの本題に入りましょう。 この問いに答えるには、より大きな背景を考える必要がある。 インターネットが進化し続け、人々や犯罪者にとっての機会を生み出し続けるにつれ、彼らもまた新たな機会を利用するために進化してきた。 電子メールを一枚岩としてではなく、多くの断片があり、すべてが相互に作用し合うエコシステムとしてとらえれば、断片自体が異なる速度で進化し、特定の断片に焦点を当てた産業が存在することが明らかになる。 このような断片的な進化により、Eメールは過去数十年にわたって大きな投資を受けてきた。 たしか5年ほど前のアナリストの記事によると、スパム対策技術への年間支出は70億ドルから100億ドルの間であり、これはスパムをブロックするための技術に対するもので、古い情報である。 しかし、メールセキュリティへのこのような大規模かつ継続的な投資にもかかわらず、特定の脅威は既存のメールセキュリティソリューションを通過し続けている。 本当は先を急ぎたいのだが、そうもいかない。 では、どうしてそうなるのか、と問う前に、その脅威がどのようなものかを見てみよう。 ケビン、あなたはこの最前線にいる。

ケビン・オブライエン

ありがとう、ティム。 いい話ですね。あなたがアナリストと彼らの意見というアイデアを持ち出したので、この分野に携わる私のお気に入りのアナリストの一人の言葉を引用させてください。 どこかのホテルのボールルームで行われたプレゼンテーションで、彼らはこう言ったんだ。”Eメールは、老舗でありながら完全に脆弱であると定義できる、数少ない企業システムのひとつである”。 というのも、電子メールは47年近く前のものでありながら、いまだにサイバーセキュリティ業界全体、ひいてはサイバーセキュリティの影響が最も直接的な収益に直結する組織に最も大きな影響を及ぼしているからです。 しかし、夏に実施したように、平均的な組織で電子メールを利用する人に尋ねると、約300人の専門家を対象に、情報セキュリティの専門家とそうでない専門家がほぼ半々という割合でアンケートを実施しました。 ほとんどの人は、一番多いのはスパムだろうと答える。 これは興味深い誤解で、情報セキュリティの側面からは反映されていない。

このスライドの左側の欄を見ていただきたいのですが、サイバーセキュリティについて考えているのは組織のユーザーです。 フィッシングから標的型フィッシング、不正な送信者からの直接的な金銭要求からマルウェアの配布、いわゆるペイロード攻撃まで、電子メールというコミュニケーション媒体を通じて受ける脅威には連続性があることを理解している」と、そのほとんどが答えています。 さらに、こうしたハッキングの20%は、これらの組織が導入しているレガシー・セキュリティ・ソリューションのすべてをバイパスしているため、是正措置が必要です。 情報セキュリティの世界では、2つの重要な指標について考える。すなわち、何か悪いことが起きていることを発見するまでの時間、そしてその問題に対処するまでの時間である。

Eメールはどこにでもある。 調査対象者の100%が仕事のメールをすべて開いています。 彼らはそれに返信したり、何かをしたりはしないかもしれないが、専門的な文脈でメールを送ることによって、誰かに連絡を取ることができることは保証できる。 しかし、この右側の列は、一般人、つまり情報セキュリティの専門家でない人は、一般的に言って、悪いメールをスパムとして分類していることを指摘している。 このように、情報セキュリティ業界では、電子メールが主要な脅威要因であることを認識しながらも、その影響を直接受けるほとんどの人が、自分たちはスパム問題を解決しているのだと誤解しているという、実に興味深い事態が起こり始めているのです。 本日の残りの時間では、スパムが問題の一部に過ぎない理由や、情報セキュリティの対応策について、どのように考えていけばよいのか、また、実際の脅威に対応できるような、ニュアンスのある情報セキュリティの対応策について、詳しくお話ししたいと思います。

それは、これは技術的な問題ではないということです。 2つのテック企業のCEOがプレゼンをしていますが、これは製品の売り込みではありませんし、単に技術を導入したり、何かを購入したりするだけでは、メールセキュリティの問題やフィッシングの問題を解決することはできません。 その代わり、ここには連続性があり、その連続性は、業界レベルの管理から、これから取り上げるいくつかの管理、組織のプロセス、個人の責任まで、多岐にわたります。 業界レベルから個人レベルまでの対応策を持つことは、このメール問題を解決するために必要不可欠なことなのです。 その前に、ティムに話を譲りたいと思います。 ティム、あなたは現場にいましたね。 脅威の進化を目の当たりにしてきた。 私たちがこの連続的な対応策について考えるにあたり、この問題がどのようなものであったのか、そして現在私たちはどのような状況にあり、どのようにしてここにたどり着いたのか、その歴史を教えていただけますか?

ティム・ドレーゲン

はい、できます。でもその前に、サイドバーを追加しておきたいと思います。 このウェビナーでGreatHornとdmarcianが協力する中で、私たちは今日の現代社会における電子メールのセキュリティについてどのように考えるべきかを明確にまとめたいと考えました。 そうすることで、フィッシングへの効果的な対応には、ケヴィンが今言ったようなテクノロジー以上のものが必要であることが明らかになった。 効果的な対応には、さまざまなアクターに目を向ける必要がある。 組織内には個人がいる。 オープンなインターネット上に共存する組織があり、それは前のスライドで業界として表現されています。 伝統的に、セキュリティ担当者は「深層防御」という概念を使い、ファイアウォール、ゲートウェイ、パケット・インスペクション、ロギング、イベント分析など、主に組織の領域に属するものにその概念を適用している。 ファイアウォール、ゲートウェイ、パケット検査、ロギング、イベント分析などです。視野を広げ、個人と組織、組織と業界の関係に目を向けることで、今日の高度な脅威に対処するためのメールセキュリティの考え方について、かなり明確なイメージをまとめることができました。

しかし、インターネットと並行してリスクがどのように進化してきたかを見ない限り、私たちは大きく前進することはできない。 そこで、スライドの真ん中の封筒から出てきた人物に話を戻します。 私たちが電子メール・セキュリティと呼んでいるもの、そして今日私たちが電子メール・セキュリティにまつわるリスクをどのように管理しているかは、実は異なるものとして始まりました。 信じられないかもしれませんが、その昔、人々は電子メールサーバーを実際のハードウェア上で動かしていました。 そうしていた人々は、主にシステム管理者として知られていた。 彼らはすべてのマシンを動かしている賢い人たちだった。 彼らは昼間の光を避け、なぞなぞを話す人々として見られていた。当時は、スパムや迷惑メールは迷惑なものと見なされていた。 当時は商用製品もありましたが、そのほとんどはシステム管理者を持たない人々に販売されていました。 それは、ITクロゼットのケーブルのほつれが象徴していると思います。 しかし、時間の経過とともに、迷惑メールはプロのスパマーによって運用されるようになり、彼らが送信するくだらないメールを処理する仕事は、企業内の専任のITプロフェッショナルに任されるようになりました。 迷惑メールではなく、スパムの受信量が増え、業務に支障をきたすとみなされるようになったのだ。 予算が使えるようになり、商用スパム対策産業は基本的に軌道に乗った。 がらくたメールを管理する上では、ネットワークに流れ込んでくるものを除去するフィルターを購入することで解決できる問題だった。

しかしある時、プロのスパマーたちは、スパムメールを送りながら培った技術や運用のノウハウが、別の方法にも使えることに気づいた。 株や詐欺、セックスピルのメールを送るためではなく、騙す意図を持って人々にメールを届けるために。 このとき、電子メールのセキュリティ・リスクの背後にある経済的な原動力が、電子メールを安価なマーケティング・チャネルとして利用することから、電子メールを、犯罪者に基本的にコストをかけずに、膨大な数の人々を詐欺にさらす手段として利用することに変わったのである。 これは、電子メールが迷惑なものから武器になるまでの物語である。 今日の状況がなぜ悪いのかを本当に理解するためには、テクノロジーが私たちのために何をしてきたかを見なければならない。 それが次のスライドにつながるはずだ。

ほとんどのスパム対策技術は、スパムの波をブロックするために開発された。 波はそれぞれ異なり、起こるタイミングも異なる。 しかし、よく見るとパターンが見えてきます。 次のスライドをご覧ください。

開発されたアンチスパム技術は、膨大な量のスパムを収集し、ハムとも呼ばれる大量のスパムでないものを収集し、機械学習技術を使ってスパムにのみ一致するパターンを特定することで機能する。 そして、そのパターンを製品化し、インターネット上を飛び交うスパムの波をブロックするために使用する。 うまくやればやるほど、儲かるのだ。 しかし、スパマーが電子メールを使って騙すことが、少数のカモにセックス・ピルを売るよりもはるかに儲かることに気づいたとき、アンチスパム技術はまだ役割を担っていた。 GreatHornがこの件に関して素晴らしい表現をしていたので、私もそれを採用しようと思う。 ボリューメトリック・フィッシングと呼んでいます。 それが次のスライドです。 ありがとうございました。

スパム対策技術が本当に壊れ始めるのはここからだ。 悪質な行為者は、この防御を越えて進化し続けている。 これはいくつかのサンプルです。 ケビン、このスライドについて話したいかどうかわからないんだけど。

ケビン・オブライエン

ボリュームのあるフィッシングについて話すとき、私たちが目にすることのひとつは、私たち全員が個人アドレスにこのようなメッセージを受け取ったことがあるということだと思います。 電子メールを使ったことがある人なら、これを見たことがあるはずだ。 このようなフィッシングは、文化的なジョークにもなっている。 ウェビナーのタイトルにもなっている「ナイジェリアの王子」は、この種のフィッシングの中でも特に悪質なものに由来しています。 しかし、この手口は企業の世界にも広がり始めており、今でも見かけることがある。 これらのメールの日付は本物です。 これらは実際のスクリーンショットであり、私たちの顧客である実際のプロフェッショナルや、場合によっては(聞き取れない)組織に送られたものです。 さて、私たちはボリュメトリックなフィッシング検知をかなり得意としています。 また、これらの多くが迷惑メールフォルダに入っていることがわかりますが、これはこの問題が、先ほどのティムの指摘のように、20年近くスパムや迷惑メールの収集を続けてきた結果、これらのメッセージに非常によく似たものが入ってきた場合、不要なものをブロックすることができるようになったからです。 もちろん、それが問題のすべてではない。 話を戻そう、ティム。

ティム・ドレーゲン

そうだね。 次のスライド。 これが大きな問題だ。 悪質なメールが1通しかない場合、それに関するサンプルを収集することも、ルールを作成することもできません。 このような少量生産の、職人芸とも呼べるフィッシングを、人々はスピアフィッシングと呼ぶ。 ボリューメトリック・フィッシングのように、一度に大勢を騙そうと網を張るのも一つの手だが、特定の個人を騙してやってはいけないことをさせることに焦点を当てた場合、それはフィッシングの特別なカテゴリーであり、それゆえに「スピアフィッシング」と呼ばれる。 スピアフィッシングは一般的になってきているので、人々はこの種の攻撃をスピアフィッシングと呼ばず、フィッシングと呼んでいる。 しかし、ケビンはdmarcianで私よりも多くのこれらのサンプルを見ています。

ケビン・オブライエン

GreatHornを立ち上げた当初は、スピアフィッシングだけに注目し、Eメールセキュリティのその一面に焦点を当てるというものでした。 今ではもっと多くのことに取り組んでいますが、それが出発点でした。 4年か4年半前、スピアフィッシングという言葉はまだ業界でこの問題を表す言葉として使われていました。 私が話していたベンチャー・キャピタリストは、しばらくの間、私の話を丁寧に聞いた後、顔をゆがめ、私たちがどのようにして海運業と関係のあるテクノロジー会社を立ち上げるのかと聞いてきたことを覚えている。 それは明らかに誤解であり、その時私は、おそらくその投資家は私たちのための投資家ではないのだろうと思った。 少なくとも、彼女が私たちのしていることに投資したいと思うほど、私たちは彼女に強い印象を与えていなかった。しかし現実には、その言葉は誰もが目にしたことがあるものだった。

このプレゼンテーションの冒頭に掲載したアンケートを思い出してほしい。スパムとスピアフィッシングの間には、いまだに誤解と誤認があります。 では、それは何なのか? はっきりさせましょう。 標的型フィッシング、標的型攻撃、スピアフィッシングとは、通常、企業の重役になりすまし、さまざまな悪用テクニックを駆使して、その企業内の誰かに何かをさせようとする攻撃を指します。 機密データにアクセスさせたり、金銭を送金させたり、さらに高度な攻撃のための追加情報を与えたりする。 また、信頼できるサービスになりすますこともできる。 クラウドホスティングされたファイルのようなもの、つまりDropboxアカウントやGoogle Driveアカウント、SharePointアカウントに保存されているファイルを入手し、誰かがそれを開くように要求してくる。 左下にあるように、マイクロソフト自身が、配信が遅れたり失敗したりしたメッセージを解除するにはログインする必要があると主張しているのかもしれない。 もちろん、これはマイクロソフトやあなたの役員からのメッセージではない。 これらはスピアフィッシング攻撃であり、あなたの認証情報を取得したり、あなたに何かをさせようとするものです。

このウェビナーのオープニングと自己紹介を担当したロリータは、私からのメッセージと思われるものを受け取った。 このウェビナーの冒頭で紹介を担当したロリータは、私からのものと思われるメッセージを受け取った。 しかし、これは人々が依存している攻撃の種類を示しています。したがって、このドアノック攻撃は、おそらく将来的にもっと複雑な攻撃を実行しようとしている何者かのことを示しています。 しかし、この “U “にはウムラウトが付いており、この2つの小さな点が、売買契約書に署名するか攻撃者に認証情報を渡すかの分かれ目となる。

どうすればいいのだろう? ティムが指摘したように、私たちはこの問題を解決するためにテクノロジーだけに頼ることはできない。 つまり、大量のデータを消費し、いったんデータのコーパスを手に入れたら、それを見てどこにスパムがあり、どこにハムがあるのかを把握するためにマシンをチューニングする。 先にも述べたように、スピアフィッシングの問題、そしてメールセキュリティの問題全体に対して、主要な組織が現在取り組んでいるのは、プロセステクノロジーと人的投資の合流です。 まず、この3つの意味を理解する必要があると思います。

プロセスとは、あなたのビジネスを取り巻く正式な、文書化された一連のルールのことである。 誰かが、「私のメールに返信してほしい」、「未決済の口座に基づいてお金を振り込んでほしい」、「このリンクをクリックして、メッセージを送ってほしい」と言ったとき、プロセス・レベルの管理では、「口頭での確認と電話連絡なしにお金を振り込むことはありません」、「差出人がわからない場合は、リンクをクリックしないでください」と言うだろう。 これは良いことだ。 規模が大きくなれば、ほとんどの組織には監査要件があり、その監査要件は、実際、プロセスが一定の基準に沿っていること、そして、通常、毎年、それらがスタッフに周知されていることを証明することを求めている。

そこで、私たちが提案する対応フレームワークの第二段階は、テクノロジーへの投資です。しかし、テクノロジーは、物事をブロックすることで問題を解決しようとするのではなく、むしろ、エンドユーザーに、どのようなプロセスがあり、どのように行動すべきかを思い出させ、武装させるものです。 この点については、ティムにもう少し詳しく話してもらおうと思います。テクノロジーとEメールとの関連性について文脈を整理し、考えることは重要なトピックであり、私たちは今日も、そしてこれからも、このトピックに時間を費やすつもりです。

ロリータやチームのメンバーをターゲットにして、”行って何かしてほしい “と言う。 セキュリティの専門家の間では、「人間は最も弱い存在である」という誤解や誤った認識があります。 これは、ソフトウェアやテクノロジーを売るために恐怖を利用しようとする、実に残念な方法だ。 私たちは、エンド・ユーザーこそが攻撃を阻止・防止する最大のチャンスだと考えています。そして、テクノロジーを活用することで、プロセスと人間の間に強力な連携が生まれ、最も弱いはずのリンクが最も強力な資産のひとつに変わるのです。 ティム、ここで少し、私たちが話していた “Defense in depth “の概念について具体的に説明してくれる?

ティム・ドレーゲン

そうだね。 これは単なる技術以上のものであり、このようなことを話すことで責任を分かち合うことができるということだ。 私たちが共同作業をしていたとき、この線で考えていました。 私たちは、プロセス、テクノロジー、そして人々が、個人、組織、そして業界を超えたレベルでどのように相互作用しているのか、整理整頓された方法を見つけようとしていました。 これをまとめると、行と列のあるマトリックスでは本当に洞察が得られるとは思えませんでした。 重要なのはその関係性であり、従来のような特定のターゲット・エリアに対する徹底的な防御とは対照的だった。 しかし、そこに到達するためのより良い方法は、人々が与えられたもので行ってきたことと、より広い視点からアプローチしたときに効果的なことを比較対照することだと思います。 つまり、人々を守るため、組織を守るため、一般大衆を教育するための深層防衛とは対照的に、全体的な視点から見るのです。 次のスライドは、最初の部分であるユーザー・エンゲージメントです。

ケビン・オブライエン

ティム、ユーザー・エンゲージメントについて興味深いことのひとつは、あなたが今おっしゃったように、深層防衛をめぐっては、人々がデータにアクセスできないようにするという考え方があります。 これは本当に誤解であり、用語の流用です。 深層防御という概念は、米国標準技術局(NIST)が学術的な研究を通じて提唱したもので、その後、90年代半ばから2000年代初頭にかけて正式な政策提言がなされました。 深層防御とは、セキュリティ・プログラムに適用することで、単一障害点を作らないようにするという考え方である。 しかし、悲しいかな、その実装は、ユーザーを信頼することはできないので、ユーザーと彼らの仕事の間にできるだけ多くの防御レベルを置くというものであった。ユーザーを問題視し、ユーザーを閉め出し、電子メールの観点から見た主な問題が、迷惑メールやスパムを受け取ることであった時代のために設計されたテクノロジーを使用するのであれば、「そのようなものはユーザーに見せず、迷惑メールフォルダーに入れ、隔離し、何かあったときの対処は情報セキュリティチームに任せればよい。- ユーザーにそのようなものを見せないで、迷惑メールフォルダに入れて、隔離して、情報セキュリティチームに任せて、ビジネス・プロセスに何か違反があったときにそれを突き止めるようにすればいいのです。 クラウドインフラストラクチャの進化を見ると、現在のユーザーは個人のタブレットや携帯電話を持って仕事に行くことができ、10年前や15年前ならエンタープライズグレードのEメールシステムだったものに、5分のサインアップでGmailアカウントやウェブ上の最新のEメールアカウントを取得するだけで簡単にアクセスできるようになりました。 ティム、現代的なアプローチについて、また今日私たちが目にしている効果について、もう少し話してくれますか?

ティム・ドレーゲン

私の見解では、ユーザーを隔離してもうまくいかない。 悪いものをクリックしないようにトレーニングする指導はたくさんありますが、この種のトレーニングを専門に行う企業は、ユーザーが常に悪いものを避けられないと報告しています。 このようなアプローチは、トレーニング・プログラムという点では良いのですが、実際に物事に損害を与えるような鋭い種類のメールを防ぐという点では効果的ではありません。 ですから、私の意見としては、Eメールに目を通す際には、より良いツールが必要だと思います。 ですから、スライドの一番下にあるような現代的なアプローチでは、電子メールを処理する際にユーザー自身がより良いツールを利用できるようにすることで、何かおかしなことがあったときに、より良い対応ができるような機能が増え始めています。 メールを隔離に入れ、最終的に専門家が解除するというモデルではなく、ユーザー自身が十分な視覚的シグナルを得ることで、–自分で調査をするとまでは言いませんが–テクノロジー部分によって鋭利な部分が削ぎ落とされ、ユーザーが傷つくようなことが少なくなっています。

ケビン・オブライエン

それはもちろん、テクノロジーが果たすべき役割について話すための素晴らしい切り口だ。 鋭利なエッジを丸くするという考え方はいいですね。 現代的なアプローチでテクノロジーが役立つと思うのは、決定的に悪いメールをメールボックスから取り除くことです。 これは、エンドポイントデバイスやネットワーク・ファイアウォールでうまく機能するのと同じように、良い/悪いという二元的な分類がうまく機能する分野です。 マルウェア、ファイル・ハッシュ・スペースの検出、脅威の静的分析、複数のリアルタイム・ブラックリストに存在する悪意のあるURLなど、この種のものは取り除くことができます。 セキュリティの専門家は情報弱者ではないことを認めるべきだと思います。 彼らはバカではない。 このようなことは、セキュリティの他の分野ではすべてうまく機能している。 しかし、うまくいかないのは、技術的な観点からバイナリ分類の考え方を取り入れ、私たちが説明しているような問題に適用できると考えることです。 ティムのスライドにある、波間から飛び出す1匹の魚を見ると、その孤立した、よく練られた、危険な攻撃メッセージは、マルウェアの大量配布を解決する場合に機能するような種類のものを回避してしまうと思います。

そして2つ目に、私たちが目にしたのは、企業がこう言い始めたということだった。 ユーザーをトレーニングしよう。 ユーザーを訓練することには、それなりの課題がある。 まず、エンドユーザーの行動に影響を与えることが非常に難しい。 オフィスのプロフェッショナルであろうと、それ以外の場所であろうと、人は変化に抵抗するものだ。 47年前のシステムを思い出してほしい。 ほとんどの人が、少なくとも10年か20年は使っている。 それではうまくいかない。 そして第二に、私たちが人々に求めていることは、2018年に存在する私たちのインフラへの期待とは一致しません。 不審だと思うリンクにマウスカーソルを合わせてください」と言えば、1つはセキュリティの専門家としてそのリンクが不審かどうかを理解し、2つ目はマウスカーソルを合わせることを求めることになる。 もし彼らがiPadを使っていたら? 空港にいたら? 家でスマートフォンを見ていて、夜9時、寝る前にメールをチェックしていたら? マウスカーソルは? つまり、テクノロジーとトレーニングが一緒になればフィッシングの問題が解決するというこの考えは全くの誤りであり、なぜこの問題が今日これほど重大で大きなものになっているのかということにつながる。 しかし、もっといい方法がある。 ティム?

ティム・ドレーゲン

余談だが、情報セキュリティのコミュニティでは、ユーザーが問題だという認識がある。 しかし、人々を固定資産のように扱うことは、ユーザーを問題として扱う最も効果的な方法ではないと思います。 人は静的な資産ではない。 ケビンの言うように、彼らは世界中を動き回っている。 彼らは本質的に組織とダイナミックな関係にあるのだから、世界中を動き回るモノのように扱わなければならない。 ユーザーを鎧のような層で囲い込んで、悪いものに襲われないようにするという従来の方法では、ユーザーは野生の世界に出て、(聞き取れないような)予期せぬ経験をするものだと認識しなければなりません。 だから、より良い方法は、リスクを減らすように調整できるプロセスに人々を組み込むことだろう。 すべてを解決する1つのテクノロジー・ソリューションがあると考えるのではなく、それを組み合わせて扱う方がいい。 そのー

ケビン・オブライエン

ティム、すまない。

ティム・ドレーゲン

ああ、いや、君か。

ケビン・オブライエン

私たちの言葉を鵜呑みにしないでください。 プレゼンテーションの最初に紹介した調査を見てほしい。 もしテクノロジーとトレーニングだけでこの問題を解決できるという考え方が本当なら、情報セキュリティ側の回答者の20%が、週単位で是正措置をとっていると報告していることに気づくはずはない。 一般的な組織では、1週間に1億通の電子メールを受信する可能性があることを考えると、これは高い失敗率である。 ユーザーをターゲットにしたメッセージに対して手作業で対処しなければならず、サイバーセキュリティ侵害の個々のインシデントごとに数万ドルから数十万ドルのコストがかかるような状況で、20%の失敗率があるというのは、許容できる誤差の範囲ではない。 テクノロジーさえあれば十分だというこの考えには、おそらく役割があるのだろうが、スパムに有効なものがフィッシングや標的型フィッシングにも有効であるという誤った理解を持続させることは許されない。 しかし、ありがたいことに、私たちにできることはいくつかあります。 ティム、手始めに業界の視点から話してくれないか?

ティム・ドレーゲン

これは僕のお気に入りだ。 ありがとう。 これは私の心に近いものです。 ほとんどの組織は、インターネット上で信頼を築き、維持するために利用できる技術を活用していません。 私が言っているのは、ウェブサイトのようなオンライン資産をSSL認証で保護するとか、ファイアウォールを使って境界を保護するとか、そういうことではありません。 現在、インターネット上のすべての人が、自分自身を名乗るオンライン上のものを確実に信頼できるようにするための技術を、組織に導入させるための重要な取り組みが進行中である。 Eメールから察するに、組織がこれらの技術を採用するには長い時間がかかるだろう。 オープン・インターネット上での相互運用の違いは、製品ではないということだ。 電子メールがそうであるように、基本的には一連の技術仕様なのだ。 ですから、もしあなたが企業でインターネットを利用しているのであれば、あなたと通信しようとする他のすべての人が安全な方法で通信できるようにする方法を考えなければなりません。企業を見つけることはできる。 しかし、繰り返しになりますが、技術そのものは相互運用性がすべてです。 オープンなインターネット上の誰もが、あなたがあなたであることを実際に見分けることができるように、これらの技術を使用することは、本当に新しい方法で問題にアプローチしています。 だから、人々に推測させないこと。 ネット上で確立された安定した存在感を示すようにするんだ。 ケビン(オーバーラップ・ダイアログ;聞き取れず)

ケビン・オブライエン

そうですね。 情報セキュリティの観点からは、組織がこれらの標準を使用することで解決できる業界標準技術の採用の問題があることを区別することができます。 また、情報セキュリティの観点から同じ課題に目を向け、自分の組織がこのような標準の採用に関して良い状態にあるかどうかを判断することもできる。 なぜこれが重要なのか? 先ほど見た私のなりすましの例を考えてみよう。 私はメールアドレスが他人の名前であることをジョークにした。 エンドユーザーとしてそれを見分けるのは難しい。 もしケビン・オブライエンが私の名前のスペルで、私のスタッフの誰かにメールを送ったとしたら、私たちはそのような業界の保護策を講じていないため、攻撃者は携帯電話でメールを見たときに表示されるフレンドリーな名前、ケビン・オブライエンを使うことができるだけでなく、GreatHorn dot comの私のドメイン名を使うこともできるのです。 エンドユーザーが本物のケビンと偽者を区別する方法がなくなってしまうからだ。 しかし、もしあなたがこれらの標準を実装した場合、それは技術ではなく、あなたが購入するものでもなく、標準なのです。 誰かのGmailアドレスになってしまうのだ。このようなアプローチを取ることで、スペクトラムの観点からスタッフの下に戻り、1つの防御層だけでなく、複数の防御層を使ってどのように身を守ることができるかを考える扉を開くことができる。 ティム、どうぞ。

ティム・ドレーゲン

この写真がたまらない。 これまでのウェビナーで多くのことを学んだ。 GreatHornとdmarcianが座って共同作業を始めたとき、私たちは多くのことを調べ、多くの資料を作りました。 これは3部構成の1部になると思います。 この図は、要約すると、注目すべき3つのハイレベルなカテゴリーがあります:産業、組織、そして個人です。 伝統的に、これらはサイロのように捉えられていますが、私たちの経験では、フィッシングへのより効果的な対応には、これらの領域の間を見る必要があります。 つまり、個人と組織、組織と業界の関係である。 関係の部分は本当に重要です。 業界の観点からは、インターネット上で相互運用するための標準ベースの方法があり、それによって自分の組織を信頼できるものにすることができる。何かが本物かどうかを推測する必要はない。 組織としてインターネットと正しく相互運用するために、あらゆる技術を追求すべきだ。 これは情報セキュリティの観点からだ。 組織は何よりもまず、インターネット上で自分自身を信頼できるようにすることだ。 GreatHornは、個人と個人の関係、個人と組織の関係を見るという点で、先駆的な存在です。 そして、フィッシングが示す問題空間の全領域を見渡すことで、これは私たちがこれまでに作成できた最も簡潔な種類の図である。

ケビン・オブライエン

そして、ティムと私が両組織のパートナーシップを築くことに相互に興奮している理由のひとつは、私たちがこの方程式の異なる側面を解決しているからです。 業界の保護を導入し、ユーザーの前にコンテキストを置くには、組織的なコミットメントが必要であり、それは多くの場合、同じグループによる組織的なコミットメントである。 もしあなたが電子メールに責任を持ち、情報セキュリティについて考えているのであれば、また、あなたがどこにいて、どのような種類のデータを持っていて、資金調達やインターネット上に公開されている情報に関連し、あなたの経営幹部に対して展開される高度なサイバー脅威からビジネスを守っているのであれば、組織レベルで個別の対応計画を持つことが、効果的に身を守ることができる唯一の方法なのです。 このウェブセミナーは、実際にどのような対策を講じるべきかについて話し合う良い機会だと思います。 このような計画がどのようにまとまるのかについては、この後のウェビナーで詳しく説明する予定ですが、私たちがどこから来ているのか、ティム、あなたの仕事について少しお話いただけますか? GreatHornについてお話しして、それから質問を受け付けたいと思います。

ティム・ドレーゲン

そうそう、ちょっとだけ。 Dmarcian自体は、DMARCが公開された直後に設立され、DMARCをインターネットに組み込むことを唯一の使命としている。 DMARC自体は、単なる技術です。 DMARCは、インターネット上で信頼を築くためのビルディング・ブロックというか、土台なのです。 DMARCは相互運用性の1つであり、他人が本物かどうかを推測する必要のないメールを送ることを可能にします。 私たちの焦点は、組織とその業界の間にあるスペースにあります。

ケビン・オブライエン

GreatHornはメールセキュリティ・プロバイダーであり、クラウドメールシステムを採用した組織がメールボックスのどこに脅威があるのかを理解し、自動的かつ即座に対応可能なポリシーを通じて、それらに対処できるように支援する。つまり、あるメッセージが不正かどうかについてのコンテキストをエンドユーザーに提供し、情報セキュリティチームが数時間や数日ではなく数秒で脅威に対応できるように支援するのだ。

ロリータ・バ

素晴らしい。 お二人とも、お時間を割いていただき、またこれまで提供してくださった内容に感謝いたします。 ウェビナー・コントロール・パネルの「質問」タブで質問を受け付けています。 すでに何件か寄せられています。 すぐにご紹介します。 また、両CEOは、ウェビナーを複数回開催する予定であると述べています。 次の2つはここにリストアップしてあります。 日程はまだ確定していませんが、必ずお知らせします。 2回目のウェビナーでは、哲学的な議論についての戦術的な議論を行い、3回目では、両社が何を行っているのかをより深く理解することを意図しています。

質問に関しては、まず、”意識を高めるために自社の従業員を対象にフィッシング・キャンペーンを行うことについて、皆さんはどう思いますか?”というものだ。

ケビン・オブライエン

もちろん、私が最初に説明し、その後、ティム、あなたがそれに色をつけたいのであれば、あなたがそのようなことをする理由を説明します。 第一に、自社の従業員に対してフィッシング・キャンペーンを実施することで、自社の現状を知ることができます。 ベンチマーキングは良い習慣であり、何を変えようとしているのかを知り、動かそうとしているメトリクスがどのようなものかを理解することで、少なくとも自分がどのレベルにいるのかを知るためのベースラインを得ることができる。 意味がないのは、自社の従業員をフィッシングすることと、従業員がそれに引っかかるという事実を解決することの間に相関関係があると考えることです。 残念なことに、予算は限られており、時間も有限である。情報セキュリティチームは、従業員にフィッシングをし続け、コンテンツをプッシュし、リンクをクリックするたびにビデオを見させれば十分だと考えることがある。 うまくいかない。 統計によれば、直近のフィッシング・シミュレーションから6ヶ月以内に、その数は基準値に戻る。さらに悪いことに、セキュリティ・チームはフィッシングの問題に対して効果的な対策を講じたと信じているが、実際にはフィッシングを地下に追いやったり、セキュリティ・チームを馬鹿にしたビジネス・サイドの恨みを買ってしまったりする。 ですから、どこから始めるかを理解するための良いテクニックですが、それはあくまでも出発点であって、停止点ではありません。 何か付け加えることはありますか、ティム?

ティム・ドレーゲン

私の個人的な意見ですが、問題があることを組織全体で認識させる素晴らしい方法だと思います。 多くの人は、特にハイテク業界に身を置いていない場合、メールクライアントが詐欺から自分たちを守るために何もしていないことを知らないかもしれません。 私が話をする情報セキュリティー担当者や非メール担当者のほとんどは、メールボックス・プロバイダやITスタッフ、あるいは誰であろうと、物事を安全にする仕事をしていると思い込んでいる。 だから、受信箱に入ってリンクをクリックし始めたら、その前提はこうだ–自動車が宇宙に打ち上げられ、月に人が降り立ち、地球を周回する人工衛星がある。 ただボタンを押すだけなのに。 だから、多くの人々は、実際、電子メール空間がエンドユーザーにとって非常に危険であることを認識していない。 意識を高める方法としては、間違いなく有用だと思います。 問題を正確に解決するわけではありませんが、意識を高め、今後の行動を正当化することができるかもしれません。 言ってみれば、情報セキュリティのビジネスケースを作るようなものだ。

ロリータ・バ

ありがとうございます。 次の質問、”最近、ある顧客が当社のふりをしてフィッシングに遭いました。 どうすればそれを防ぐことができますか?”

ケビン・オブライエン

ティム、最初の質問に答えてくれないか?

ティム・ドレイゲン

質問を正しく理解しているかどうか確認させてください。 誰かがあなたのふりをして顧客にメールを送りました。 DMARCのような技術を使うことができます。 DMARCは、電子メールを簡単に識別できるようにするために考案されました。 これが私がお勧めする最初のステップでしょう。 しかし、メールを送ってくる人が正しいことをするように頼らなくてもいいように、もっと強固な方法もあります。

ケビン・オブライエン

この種の攻撃が発生したときに私たちが目にすることのひとつは、通常、組織がDMARCや電子メール認証に必要なすべてのことを実装していないか、あるいは部分的にしか実装していないということです。 例えば、フォーチュン500に名を連ねるような企業で、自社ブランドと提携しているドメインが1,000近くあり、エンジニアリングチームの開発者が新しいサービスや、自社としてメールを送信できるマシンの新しいインスタンスを作成しているような場合、基本的なメールインフラを整備することはできていますが、それを継続的に監視し、通常の業務運用の中で新たな脅威の機会がどこに発生するかを考えるのは、手作業でやろうとすると大変な作業です。 システムを通過するすべてのメールを収集し、潜在的なセキュリティの脆弱性から保護することを考えるアプローチを持つことが、方程式の後半になります。 レガシー・アプローチではできないことだが、もしこの2つを一緒にやっているのであれば。もしあなたが悪いものを隔離するモデルを取っているだけなら、ユーザーに悪いものがやってくることを考えていることになり、ティムが言っていることが見えなくなってしまう。 私たちが外部からどう見えるか? それを測定することはできる。 その問題を解決するためのテクノロジーやプロセスがある。 そうすれば、顧客になりすまされた企業になる可能性ははるかに低くなる。

ロリータ・バ

ありがとう。 次の質問は、主にケビンさんへのものだと思います。「 DMARCがすでに導入されている完全拒否というシナリオがあります。 G Suiteがメールのバックエンドだが、ほとんどのユーザーはOutlookでメールを見たり使ったりしている。 Gmailのウェブクライアントは使わない。 では、不審なメールに対してユーザーに追加のコンテキストを提供するというアプローチは、このようなハイブリッドな状況でも機能するのでしょうか?」

ケビン・オブライエン

答えは、「うまくいく」ということだ。 プラットフォーム提供者(この場合はグーグル)が与えてくれるものだけでは、それを実現することはできない。 このギャップは非常に大きく、質問者が提起したような状況に遭遇したことがない限り、明らかにはならないものだ。 グーグルには、個人的なメールや仕事でグーグルを使っている場合、かなり強力なスパム対策フィルターがあり、基本的なコンテキスト分析に基づいて「このメッセージは金融情報について話している。 詐欺かもしれません。 送信者を確認してください」。 Chromeの前にいてGoogleにログインしているのであれば、これは素晴らしいことだ。 多くの組織のように、Outlookを使用しているユーザーがいる場合、突然そのレベルの保護が受けられなくなる。 これはGreatHorn特有のものですが、様々な方法があります。コンテキストをメッセージ自体に組み込むことが可能で、プラットフォーム・プロバイダに頼る必要はありません。このようなプロセスを実施する場合、DMARCの完全な拒否ポリシーをすでに取得しているのと同じように、なりすましの防止策を講じることができる。 iPhone、iPad、Outlook、あるいはウェブメールを閲覧するブラウザなど、エンドユーザーがどのような環境で利用するかに関係なく、DMARCを利用することができる。

ロリータ・バ

ありがとう、ケビン。 次の質問はお二人にお願いします。 まずはティムから、そしてケヴィン、追加で何か考えがあればフォローしてください。 「もし組織にフィッシング攻撃を検知するためのユーザー・トレーニング・プログラムや技術がない場合、どのように始めますか? まず何を優先しますか?

ティム・ドレイゲン

ああ、いい質問だね。 ロリータ、私が正しく理解できたかどうか確認するのを手伝ってくれるかな。 トレーニング・プログラムはまだ導入されていない。では、どうやって最初の部分である意識向上を図るのか? 背景を少し説明すると、情報セキュリティのプロフェッショナルが会社にいて、予算がなく、太鼓を叩いているが誰も聞いていない。 ロリータ、それは公平な見方ですか?

ロリータ・バ

トレーニングも技術もないゼロからのスタートで、フィッシングの脅威に取り組みたい場合、まず何から始めるのでしょうか? どのようにプロセスを開始しますか?

ティム・ドレイゲン

そうか、わかった。 知名度が第一だと思う。 認知度を高めるためには、何か見たり報告したりするものが必要です。 DMARCを使えば、無料でデータの収集を始めることができる。 DMARCを使えば、オープンなインターネット上であなたのドメインがどのように利用されているかがわかります。 多くの場合、情報セキュリティの専門家はそれを出発点として利用することができる。 データを集めることができる。 それを処理する。 それを他の人たちに見せて、問題があること、オープンなインターネット上にあなたの組織のふりをしている人たちがいることを示すことができる。 通常、最初の会話を始めるにはそれで十分だが、そのような情報を収集するテクニックは他にもある。 自社のメールサーバーを調べ、スパムがどれだけブロックされているかを把握することもできる。 それを簡単な指標として使って、上司や同僚に、オープンなインターネット上で現実的な問題が起きていることを伝えることができる。 このようなことは、他の誰の助けも借りずにできる、ごく基本的なことです。 情報セキュリティの専門家は、このようなことから知名度を高めることができる。

ケビン・オブライエン

もう一つは、ユーザーベースがあり、危険なメッセージやフィッシュの可能性のあるメッセージを受信している場合、トレーニングに関するプログラムがない場合、どのように意識を高めるかということです。 さて、これまで文脈について何度もお話してきましたね。 情報セキュリティチームは、優れたポリシーを作成し、電信送金の取り扱い、機密情報の要求の取り扱い、潜在的に危険な送信者、特にスピアフィッシング攻撃でよくあるような企業の中核幹部や企業が利用するビジネスサービスになりすます可能性のある送信者に対してユーザーがどのように対応すべきかという一連のプロセスについて、予算を確保する必要はありません。 このようなポリシーを設定し、ユーザーの前にコンテキストを表示することができます。

これは、従来の電子メール・セキュリティのアプローチで見られるような、テクノロジーを購入し、メールのルーティングを変更し、すべてのメールをそのテクノロジーを経由するようにし、ユーザーに検疫とのやり取りを教える必要があるようなものとは大きく異なります。 これは大変な作業だ。 「今まで一度もメールを受け取ったことのない人からメッセージが届きましたよ。 それは電信内容について尋ねていて、企業内部の誰かの表示名を使っています。それはなりすまし攻撃の可能性があるので、脅威かもしれません。 ところで、このような事態が発生した場合のポリシーはこうなっています」。 このようなことは素晴らしい出発点であり、ある意味、フィッシングの意味をまだ理解していないユーザーに対してフィッシングについて一般的な会話をするよりも効果的である。

ロリータ・バ

ありがとうございます。 そろそろ時間が迫ってきましたので、もう1つだけ質問をさせていただきます。 他に質問がある人は、どうぞ遠慮なく続けて質問をお寄せください。 個人的に答える時間がなかった質問については、メールでお答えします。 こちらはティムさんへの質問です。 DMARCはDKIMなどとどう違うのですか?

ティム・ドレイゲン

DMARC自体は、DKIMの上にオーバーレイされたものである。 DKIMは、誰かが本質的に電子メールの一部にドメインを添付することを可能にする技術であり、その添付ファイルはDKIM署名の形でメッセージと一緒に送信されます。 DMARCはまったく異なる。 DMARCは、DKIMがプラグインできるフレームワークのようなもので、DKIM自体がより便利になります。 DMARCはオーバーレイだ。 ドメイン所有者であれば、自分のドメインがインターネット上でどのように使われているかを実際に見ることができる。 DKIMを使用し、SPFと呼ばれる別の技術を使用して、電子メールとドメイン間の実際のリンクを取得します。 DMARC自体は、やはりフィードバックを与えるオーバーレイであり、ポリシーの仕組みも提供します。 DMARCのポリシー・メカニズムは、「我々はすべての作業を完了しました。 私たちの正当なメールはすべて、SPFまたはDKIMのいずれかを使用して識別することができます”。 そうすれば、「私たちはすべての作業をやり遂げました。 DMARCに準拠していない当社からのメールと思われるものが届いたら、遠慮なく削除してください。 このように、DMARCとDMARCは異なるテクノロジーでありながら、互いに補完し合っているのだ。

ロリータ・バ

ありがとう、ティム。 冒頭でお約束した45分を少しオーバーしてしまいましたが、追加でお答えできた質問が皆さんのお時間のお役に立てば幸いです。 ティムとケヴィンがフィッシングの進化について説明するのを時間を割いて聞いてくれたことに改めて感謝するとともに、次の2つのウェビナーにもぜひ注目してほしい。 次回のウェビナーは「フィッシング防御の近代化のためのハウツー・ガイド」と題して、より戦術的な内容、より具体的な内容を予定しています。 その間に、スライドとウェビナーの録画へのリンクを掲載したフォローアップ・メールにもご注目ください。 喜んでお答えします。 また、お時間を割いてくださったティムとケビン、そして内容にも感謝いたします。 本当にありがとうございました。 それではまた。

私たちがお手伝いします

Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様...のサポートを行っています。

出典元

Webinar: The Evolution of Phishing & How We Fight It

タイトルとURLをコピーしました