フィッシング攻撃に遭わないために

フィッシングは、本当にもう時代遅れの攻撃なのでしょうか?この問題を改めて考えてみましょう。迷惑メール フィルタの性能向上にもかかわらず、APWG Anti-Phishing Working Group の報告によると、フィッシング報告件数 (重複を除く) は 2014 年第 4 四半期に 18% 増加し、セキュリティ対策の専門家は 2016 年もこの傾向に変化はないと見ています。

フィッシングは、機密情報 (パスワード、暗証番号、クレジット カード番号など) を盗んだり、マルウェアを個人向けの機器や会社のシステムに忍び込ませたりするために今なおよく用いられるセキュリティ攻略手法です。LastPass アカウントもフィッシング攻撃のターゲットになる可能性は排除できません。フィッシング攻撃を防ぐには、当社のソフトウェアによるインテリジェントな検知に加えて、防御の最前線に立つ個々人の心構えが重要です。

本稿では、LastPass のフィッシングへの取り組みを紹介するとともに、フィッシングを見つける能力を高めるために何をすればよいか、また不意打ちを食らったときに機密情報をどう守ればよいかを説明します。

フィッシングとは

Pフィッシングは多様な形態を取ります。たとえば、取引銀行に扮した電子メールで口座の入出金の確認を求めてくることがあります。あるいは偽の納品書で、添付書類をダウンロードして注文内容を確認するよう求めてきたりします。ソーシャル メディア上の不正な広告やリンクの形態を取ることもあります。攻撃者の術中にはまって、普段使用している信頼できる有名な Web サイトにそっくりなサイトへ誘導されることすらあります。

スピアフィッシングは、特定の個人にターゲットを絞った形態の攻撃です。たとえば、同僚や上司 (あるいは自分の所属する IT 部門) が送信元であるかのように偽装した電子メールが送られてきます。そこで攻撃者は、先に手に入れておいたターゲットの情報に基づき一見筋が通った形で、もっと情報をくれとか、不正なファイルや電信為替をダウンロードしろといったことを要求するわけです。

フィッシング攻撃を見つける方法

フィッシング攻撃の多くは単純で簡単に見つけることができますが、中には手の込んだものもあり、不審な電子メールやリンクや通知を特定するには健全な懐疑的態度が求められます。基本的なフィッシング攻撃の見つけ方は次のとおりです。

  • URL を確認する: ブラウザのアドレス バーには Web サイト の URL が表示されます。また、リンクをポイントすると、ブラウザの画面左下に URL が表示されます。先に進む前に、それが信頼できる URL かどうか、詐称した URL でないか確認してください。たとえば、LastPass を使用しているときは、必ず https://lastpass.comhttps://subdomain.lastpass.com. という URL が表示されます。しかし、フィッシング詐欺の偽装 URL は http://lastpass.otherdomain.com. のような形を取ります。この場合のドメインは実際には「otherdomain.com」なので、そこを離れるべきです。
    Image credit: Lifehacker

    Image credit: Lifehacker

  • 宛先の名前を確認する: 宛先が「お客様各位」だったり、冒頭の挨拶文句がない電子メールは疑ってください。最近の小売業者はたいてい名指しでメールを送ってきます。しかし、スピアフィッシング攻撃は、多くの場合、本人をターゲットとするので、必ずしも宛先だけに頼ることはできません。
  • Web サイトを自らの手で開く: 確信が持てない場合は、ブラウザで新しいタブまたはウィンドウを開いてから、URL を直接入力してください (あるいはパスワード マネージャーからサイトを開きます)。こうすれば、無意識に非正規のサイトに進むことはありません。Screen Shot 2016-01-20 at 9.14.38 AM (2)
  • パスワード マネージャーに所定のログイン情報が表示されたか確認する: LastPass は、フィッシング攻撃を回避するために、偽装サイト上ではログイン情報を自動入力しないようになっています。偽装サイトではドメインが LastPass に記憶されているものと一致しないので、ログイン情報は入力されません。こうなった場合には URL を確認してください。
  • 急かされていると感じたときは落ち着くこと: すぐやれと急かされている場合は、考える暇を与えずに何かを操作させようとしている可能性があります。
  • 以下を自問してみること: 添付ファイルを送ってくれと依頼しただろうか?これは本人と特徴が一致しないのではないだろうか?判断できないときは、まずは疑って本人に問い合わせるのが一番です。
  • HTTPS:// と南京錠型アイコンが表示されているか確認する: Web サイトを訪れたときは、必ず URL バーの内容を確認するようにしましょう。HTTPS による安全な接続が確立していて南京錠型アイコンが表示されていれば、その Web サイトは第三者であるセキュリティ会社によって真正が検証済みであることを意味します。 Screen Shot 2016-01-20 at 9.16.41 AM (2)

パスワード マネージャーがフィッシング攻撃のターゲットになるとき

フィッシング攻撃は、今や電子メール、ソーシャル メディア上の不正な広告やリンクに留まらず、攻撃の範囲を広げつつあります。パスワード マネージャーを偽装するなど、ブラウザの拡張機能をターゲットとするフィッシング攻撃も登場しています。

たとえば、不正な Web サイトが ブラウザの拡張機能を偽装して メッセージを表示し、ユーザー名、パスワード、2 段階認証コードといった情報の入力を求めてくることがないとは言えません。問題のメッセージが実際はブラウザの拡張機能ではなく不正な Web サイトから送られてきているのだと判断するのは難しいかもしれません。

LastPass のフィッシング攻撃対策

  • LastPass 以外のページにマスター パスワードを入力すると警告を発する: マスター パスワードを LastPass 以外のページに入力しようとするとページへ送信する前でも、非常に目立つ警告がポップアップ表示されます。マスター パスワードのセキュリティが侵害された可能性があることがこれですぐわかるので、パスワードを変更することができます。
  • 未知の場所やデバイスからのログインには確認を要求する: 未知の場所やデバイスからログインしようとすると、常に LastPass の確認プロセスが実行されます。そのため、マスター パスワードと 2 段階認証のデータをうっかり入力してしまったとしても、攻撃者がそのデータを使おうしたとき電子メールによる一連の確認ステップで阻止されます。その上、攻撃者はターゲットのメール アカウントにアクセスしなければならず、メール アカウントの 2 段階認証はこれに対しても抑制方向へ作用します。送られてきた確認要求が自分で開始したものでなければ、そのまま無視して LastPass の保管庫 (Vault) のアカウント設定で自分のマスター パスワードを更新するだけでかまいません。
  • ログオフを封じる: 「ログアウトしたので再度ログインしてください」といった偽の LastPass メッセージが不正なページで表示される可能性もありますが、LastPass 拡張機能にまだログインした状態であることを確認したうえで、そこからだけログインを行うようにすれば、このトラップは回避できます。

こうした安全対策に加え、当社では Google などのブラウザを対象にユーザー保護水準をさらに向上させるためにブラウザの画面表示領域外でメッセージを表示する安全な仕組みを提供しています。

自分の LastPass アカウントを保護するには

当社が実施しているセキュリティ上の安全対策に加えて、保管庫 (Vault) を安全に維持するために以下のベスト プラクティスにも従ってください。

  • ログインには必ず LastPass 拡張機能を使うこと。 ブラウザのツールバーにある拡張機能のアイコンをクリックするのが、LastPass にログインする最も安全なやり方です。 Screen Shot 2016-01-20 at 9.24.22 AM (2)
  • 以前使ったマスター パスワードを再利用しないこと。 マスター パスワードを再利用すると、保管庫 (Vault) の情報を盗まれるリスクが高くなります。LastPass のマスター パスワードは、決して使いまわさないでください。また、LastPass にログインする以外の目的でマスター パスワードを使用した場合に表示される警告を無視しないでください。
  • LastPass をどこからダウンロードするかに注意すること。LastPass を LastPass.com (またはブラウザやデバイスが提供するアドオン ストア) 以外からダウンロードしないでください。当事者と直接関係ないダウンロード サイトは決して使わないでください。また、アドオン ストアであっても、そこに記載されている内容に十分注意してください。LastPass に見えても、実際に発行元の名前が違っていたり、レーティングがなかったりします。
  • マスター パスワードを他人に伝えないこと。LastPass チームがマスター パスワードを尋ねることは決してありません。LastPass から来たと言い張ってマスター パスワードを尋ねる人物に用心してください。ともかくパスワードは公開しないことが大切です。
  • 2 段階認証を導入すること。良好なセキュリティはリスクを軽減する多層的な防御機構によって維持されます。 2 段階認証 は、アカウント情報に加えてもう一片の情報を入力しないとアカウントにアクセスできないようにする仕組みです。万能の解決策とは言えませんが、アカウントの保護には大いに役立ちます。
  • 電子メールを保護するために強力なパスワードと 2 段階認証を使うこと。 メール アカウントには、多くの場合、そのユーザーが自在に活動できる領域に入るための鍵がすべて保持されています。ユーザーのデジタル ライフがメール アカウントに依存している以上、それを保護しなければならないのは言うまでもないでしょう。LastPass では、望むなら、強力でしかも暗記向きの「発音しやすい」メール用パスワードを生成することもできます。なお、電子メール サービス プロバイダが対応していれば、必ず 2 段階認証を有効にしてください。

安全なオンライン環境を維持するためには当社の継続的な関与が必要です。LastPass は、新たな脅威に備えて製品を改良するとともに、セキュリティ研究者のコミュニティと連携して製品を強化することをお約束します。また、ユーザー自身もセキュリティを維持するためのベスト プラクティスに従うことを肝に銘じる必要があります。