セキュリティ & アイデンティティ

COVID-19 のパンデミックおよびそれ以後のサイバー攻撃に対するビジネスの保護

2020年4月28日

Google Cloud Japan Team

※この投稿は米国時間 2020 年 4 月 17 日に、Google Cloud blog に投稿されたものの抄訳です。

ビジネス規模にかかわらず、組織の IT チームが COVID-19（新型コロナウイルス感染症）の課題から受けるプレッシャーは高まっています。同時に変化していないものもあります。それは、セキュリティが企業にとって最優先事項であり、フィッシングは攻撃者がアカウントに侵入して企業データやリソースにアクセスするのに使用する最も効果的な手法の一つであるということです。実際に、攻撃者たちはパンデミックにまつわる恐怖や不安を利用して、新しい攻撃や詐欺を日々生み出しています。

Google は常にこのような脅威に先手を打ち、組織を保護します。2 月には、新世代のドキュメントマルウェアスキャナについて取り上げました。これにより、ディープラーニングを利用して、毎週マルウェアをスキャンする 3,000 億を超える添付ファイルの検出機能を向上させています。Gmail によってブロックされる悪意のあるドキュメントの 63% は日々異なっていますが、この機能により、高い検出率を維持できています。

こうした攻撃を防ぐために、Gmail でブロックしている COVID-19 関連のフィッシングやマルウェアの脅威の例をいくつか紹介します。また、管理者が効果的に対処するための手順を共有し、ユーザーが脅威を回避するためのベストプラクティスについて詳しく説明します。

よくある攻撃（とそのブロック）

毎日、Gmail では 1 億件を超えるフィッシングメールをブロックしています。先週は、COVID-19 に関連する 1,800 万件のマルウェアとフィッシングメールを毎日検出しました。
これには、2 億 4,000 万件を超える COVID 関連の毎日のスパムメッセージは含まれていません。Google Cloud の機械学習（ML）モデルは、このような脅威を理解してフィルタリングするよう進化しており、99.9% 以上のスパム、フィッシング、マルウェアがユーザーに到達しないようにブロックし続けています。

現在確認されているフィッシング攻撃や詐欺は、恐怖と金銭的インセンティブの両方を使用して緊急性を生み出して、ユーザーの反応を促しています。その例をご紹介します。

WHO（世界保健機関）のような権威ある政府機関になりすまして、不正な寄付を募ったり、マルウェアを配布したりするメールがあります。これには、バックドアをインストールできるダウンロード可能なファイルを配布するメカニズムが含まれています。
このようなメールのブロックに加え、Google は WHO と連携して DMARC
（Domain-based Message Authentication, Reporting, and Conformance）の迅速な実装の重要性を明確にし、セキュリティ向上のためにメール認証の必要性を強調しました。DMARC は、攻撃者が who.int ドメインになりすますのを困難にすることで、正規のメールの通信を維持しながら、悪意のあるメールが受信者の受信トレイに到達するのを防ぎます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/1_Impersonating_authoritative_government_o.max-1300x1300.jpg

この例は、在宅勤務の環境で作業している従業員に対するフィッシング攻撃の増加を示しています。

https://storage.googleapis.com/gweb-cloudblog-publish/images/2_phishing_attempts_of_employees.max-900x900.jpg

この例は、政府の景気刺激策を利用し、政府機関を装った、小規模ビジネスに対するフィッシングです。

https://storage.googleapis.com/gweb-cloudblog-publish/images/3_capitalize_on_government_stimulus_packag.max-1100x1100.jpg

この例は、外出禁止（stay-at-home）令の影響を受けた組織への攻撃です。

https://storage.googleapis.com/gweb-cloudblog-publish/images/4_targets_organizations.max-1100x1100.jpg

予防機能によるセキュリティの向上

Google では、システムやワークフロー全体で、COVID-19 関連のマルウェアやフィッシングに対するプロアクティブなモニタリングを実施しています。多くの場合、こうした脅威は新しいものではありません。むしろ既存のマルウェアキャンペーンであり、COVID-19 に対する注目度を利用するために更新されたものです。

Google では、脅威を特定したらすぐに、Safe Browsing API に追加して、Chrome や Gmail、その他すべての統合製品のユーザーを保護しています。Safe Browsing は、ユーザーが危険なサイトに移動したり、危険なファイルをダウンロードしたりするときに警告を表示することで、毎日 40 億台以上のデバイスを保護しています。

G Suite では、高度なフィッシングとマルウェアの制御がデフォルトで有効になっており、G Suite のすべてのユーザーにこのような先を見越した保護を自動的に設定できるようにしています。

https://storage.googleapis.com/gweb-cloudblog-publish/original_images/G_Suite.gif

この制御により以下が可能です。

フィッシングとマルウェアの制御に一致するメールを、新規または既存の検疫にルーティングする
異常な添付ファイル形式のメールを特定し、警告バナーの自動表示、スパムフォルダへの振り分け、メッセージの検疫のいずれかを選択する
ドメインを装った未認証のメールを特定し、警告バナーの自動表示、スパムフォルダへの振り分け、メッセージの検疫のいずれかを選択する
デバイスに害を及ぼす可能性のある悪意のあるスクリプトを含むドキュメントから保護する
ドメインにとって一般的でない添付ファイル形式から保護する
リンク画像をスキャンし、短縮 URL の背後にあるリンクを特定する
送信者の名前が G Suite ディレクトリ内にあるが、会社のドメインまたはドメインエイリアスから送信されていないメッセージから保護する

組織とユーザーのためのベストプラクティス

管理者は Google が推奨する防御策を高度なフィッシングと不正なソフトウェアへの対策ページで確認し、セキュリティサンドボックスを有効にすることができます。

ユーザーは次の作業を行ってください。

セキュリティ診断ツールを実行してアカウントのセキュリティを向上させる
心当たりのないファイルをダウンロードしない。代わりに、Gmail の組み込みのドキュメントプレビュー機能を使用する
ログイン認証情報を提供したり、リンクをクリックしたりする前に、URL の整合性を確認する（架空の URL は一般的に実際の URL を模倣し、追加の単語やドメインを含んでいる）
フィッシングメールを報告または回避する
Google の高度な保護機能プログラム（APP）への登録を検討する（プログラムの参加者は、繰り返し狙われた場合でも、実際にフィッシングの被害を受けた例がない）

Google Cloud は、あらゆる種類のセキュリティ脅威からお客様を保護するために取り組んで
います。引き続き、ユーザーや管理者により役立つツールを提供し、攻撃者による回避を阻止するための革新を続けていきます。

- By Gmail セキュリティ担当プロダクトマネージャー Neil Kumaran、G Suite および GCP
プラットフォーム担当リードセキュリティ PMM Sam Lugani

投稿先