最後にフィッシングに引っかかったのはいつですか?たった今?今朝?昨日?思っているよりも最近かもしれません。フィッシングは most common credential-related attack(最も一般的な資格情報関連の攻撃) であり、Verizonの2024年データ漏洩調査報告書によれば、毎日 34億通のスパムメール が送信されていると報告されています。
さらに興味深い質問は、 初めて フィッシングに引っかかったのはいつですか?10年前?20年前?それ以上?もし2000年にオンラインで活動していたなら、 ILOVEYOUワームに攻撃されたことがあるかもしれません。これは非常に初期のフィッシングスキームで、AT&Tやペンタゴンなどの電子メールシステムをシャットダウンさせました。
これらすべてが、本当に重要な質問に導きます:なぜこれがまだ起こっているのでしょうか、そしてこれを止めるためには何が必要なのでしょうか?
これまで、フィッシングと効果的に戦うための適切なセキュリティパラダイムがありませんでした。しかし、良いニュースがあります。今はゼロトラストがあります。translated
フィッシングが続く理由はいくつかあります。簡単にできること、戦うのが難しいこと、そして大きな利益をもたらすことです。関与する偽装手法は非常にシンプルです。単に他の誰かになりすまし、そうすることで被害者を騙して貴重なデータやその他のリソースにアクセスするためのログイン資格情報を提供させるのです。
こちらの動画のように チャーリーブラウンがルーシーを信じて ボールが動かないと思っている:フィッシングの被害者は同じ過ちを繰り返すように見えます。これは加害者の手法が絶えず進化しているためです。 例えば、初期のフィッシング試行は通常メールで行われていましたが、現在ではテキストメッセージや他の形式のコミュニケーションも含まれるようになっています。形式や手法の絶え間ない変化により、受信者が さまざまなフィッシングスキーム を認識するのがますます難しくなっています――受信者が知識を持っているはずの人であってもです。
フィッシングスキームが機能し続ける限り、組織はお金を失い続け、悪意のある行為者は富を得続けるでしょう。フィッシングによるデータ漏洩の最新の平均価値は?IBMの2023年データ漏洩コストレポートによると、 476万ドルです。
しかし、異なる結果へ導く方法、それはゼロトラストにあります。translated
何百万ドルもの被害をもたらしたフィッシング攻撃の長年にわたる被害の後、フィッシング、ランサムウェア、サプライチェーン攻撃、その他の脅威に対する防御方法に変化が見られています。この変化は、フィッシングに対するより効果的な防御の兆しです。
この変化において、ゼロトラストは、従来の境界ベースのパラダイムを超えて脅威と戦うことにより、セキュリティを向上させる最も効果的な方法の一つとして浮上しています。
Gartner® レポート 「Quick Answer: What Are the Core Principles of Zero Trust?」に述べられているように:「ゼロトラストはパラダイムです。これは、アイデンティティとコンテキストに基づいて継続的に評価されるリスクと信頼レベルにより、暗黙の信頼を置き換えます。
ゼロトラストセキュリティパラダイムでは、誰かまたは何かが信頼できないことを確認することは、もはやアクセス試行や他の潜在的にリスクのあるイベントに応じて一度だけ行われるものではありません。代わりに、組織は信頼性を 常に 確認する必要があります。「信頼して確認する」という考え方をセキュリティの基盤とするのではなく、「決して信頼せず、常に確認する」という概念を採用することを考えてください。
今日、世界で最も高いセキュリティを誇る組織の一部は、直接または間接的に政府の一部である組織も含めて、セキュリティを向上させるためにゼロトラストを義務付けています。米国管理予算局(OMB)の執行メモランダム M-22-09 は、政府のための連邦ゼロトラストアーキテクチャ戦略を設定しています。そして、ヨーロッパでは、EU全体のサイバーセキュリティに関する法律であるNIS2指令が、NISTによって定義された ゼロトラストの7つの原則を取り入れています。米国国立標準技術研究所(NIST).translated
上記で説明したゼロトラストに関する政府の高レベルの指令が、具体的にフィッシング対策にどのように適用されるのか疑問に思われるかもしれません。Gartner レポート レポートでは、『セキュリティおよびリスク管理リーダーは、組織のゼロトラスト戦略を前進させるために5つのコア原則に標準化することができます』と提唱しています。これらのコア原則のいくつかは、フィッシング対策に直接関係しているように思われます:
『アイデンティティを確立する』 ゼロトラストのこの原則を満たすために、Gartnerレポートは、組織が『誰が何にいつ、なぜアクセスするべきか』についての確立された組織ポリシーを必要とすると述べています。
このポリシーは、組織が全体的なセキュリティを強化し、特にフィッシングから身を守るために講じることができる最も効果的なステップの1つであると私たちは考えています。このポリシーが整備されていれば、フィッシング被害に遭ったユーザーが悪意のある攻撃者が求める高価値のターゲットにアクセスする可能性が低くなります。フィッシング被害に遭ったアカウントは、横方向に移動して新しい特権を探したり要求したりする能力も制限されます。
レポートは、この原則を満たすために必要なもう1つの要件として「認証のための多要素の実装を支援する技術」を挙げています。
フィッシングが資格情報を狙うため、RSAの多要素認証(MFA)のようなソリューションは、単一の資格情報が漏洩した場合の被害を大幅に制限することができます。
『アクセスの制限』 組織がアイデンティティを確立し、特定のユーザが必要とする特権を事前に決定するだけでなく、可能な限りアクセスを制限するよう努めるべきです。フィッシングの場合、アクセスを制限することで、悪意のある攻撃者がユーザーの資格情報を利用して目的を達成することを防ぐことができます。これが、Gartnerレポートがゼロトラストに向かうために「ユーザやシステムは必要な機能を実行するためにリソースにアクセスする必要がある場合にのみアクセスするべき」と推奨している理由です。
同様に、レポートは、アクセスの制限には「ユーザアカウントに付与される暗黙の信頼と権限の削減」が必要であると述べています。アクセスを持つ人が少なくなり、ロックが増えることで、悪意のある攻撃者が利用できるものが単純に少なくなる環境が生まれると私たちは考えています。
この環境をサポートするために、 RSA Governance & Lifecycle は、ユーザが何にアクセスできるかを知るだけでなく、そのアクセスをどのように使用するかにも焦点を当てたアクセス管理のフレームワーク を 提供します。
『リスクベースの適応型アクセスを提供する』 ゼロトラストについて何か読んだことがあれば、このアーキテクチャの背後にある主要な考え方の1つが「信頼せず、常に確認する」であることをご存知でしょう。これを行うには、組織が特権やアクセスを拡張する前に、すべてのアクセス要求をその瞬間に検証することを意味します。この継続的な確認のアイデアは、Gartnerレポートのこのポイントに言及されています:「一度限りのゲートチェックから、セッション中のリスクの継続的な評価への移行。」
リスクベース認証は、ゼロトラストに向かい、フィッシングを防ぐために不可欠です。フィッシングで資格情報を得たサイバー犯罪者は、新しいデバイスの登録、新しい場所からの作業、または本物のユーザの通常の勤務時間外のアクセスを試みる可能性が高いからです。 RSA Risk AI はこれらの信号を検出し、アクセス試行に応じてチャレンジします。 (そして、仮に悪意のある攻撃者が最初にどうにか侵入したとしても、リスクベースのインテリジェンス能力は彼らがそこにとどまる時間を制限します。)
ゼロトラストでフィッシングと戦う展望はエキサイティングですが、ゼロトラストを使用して組織が防御できるのはフィッシング だけ ではないことを理解することも重要です。
###
Gartnerレポート(英語)をダウンロードしてください。 Quick Answer: What are the Core Principles of Zero Trust?
Gartner, Inc. Quick Answer: What are the Core Principles of Zero Trust?, Wayne Hankins, Charlie Winckless, Andrew Lerner. Originally Published 2 May 2024.
GARTNER is a registered trademark and service mark of Gartner, Inc. and/or its affiliates in the U.S. and internationally and is used herein with permission. All rights reserved.
translated
