今や仕事をするにあたってはインターネット環境があることは当たり前となっています。また、テレワークやリモートワークの普及により、様々な環境下でのインターネット接続は必要不可欠です。そんな中で懸念されるのがインターネットを経由したフィッシングやファーミングのリスクです。

本記事では、社用PCや企業のネットワークから不正なサイトへアクセスしてしまうリスクについて取り上げ、その対策についてご紹介します。

なぜ企業は不正なサイトへのアクセスのリスクに注意すべきなのか

実在する組織や個人を装って不正なサイトへ誘導し、情報を略取するフィッシング。フィッシング対策協議会が毎月発表しているフィッシング報告件数の月次報告によると、同協議会への報告件数は2023年8月だけで99,585件と報告されています（海外含む）。

フィッシングといえば、個人に対する攻撃と考える方も多いかもしれません。実際、IPA（情報処理推進機構）発表の『情報セキュリティ10大脅威 2023』で「個人」の1位にランクインしたのは「フィッシングによる個人情報等の詐取」です。

しかし、企業もまたフィッシングのターゲットの一つです。特に企業を狙ったフィッシング攻撃は、特定のターゲットを狙う標的型攻撃（スピアフィッシング）で、前述の『情報セキュリティ10大脅威 2023』「組織」の3位が「標的型攻撃による機密情報の窃取」となっています。上司や取引先を装うなどより巧妙な手段がとられることも多く、被害の規模も大きいことから個人以上に注意が必要といえるでしょう。

不正なサイトへのアクセスを誘導する攻撃パターン

ここからは、ターゲットを不正なサイトへ誘導する攻撃のパターンを複数見ていきましょう。

標的型メール攻撃

特定の個人や組織を標的に関係者や緊急の事情を装ったメールを送りつける攻撃です。メールに添付されたURLにアクセスすることで不正なサイトに誘導され、マルウエアの感染や入力したアカウント情報の略取といった被害がもたらされることとなります。

水飲み場攻撃

特定の個人や組織が頻繁にアクセスするウェブサイトを改ざんし、アクセスしただけでマルウエアに感染してしまうプログラムを埋め込むサイバー攻撃です。普段よくアクセスするサイトが改ざんされていることから攻撃に気付きにくく、野生動物の水飲み場に罠を仕掛けるような仕組みであることから「水飲み場攻撃」と名付けられました。

クロスサイトスクリプティング（XSS）

脆弱性のあるサイトの入力フォームや検索窓に実行可能なプログラムを仕掛け、不正なウェブサイトへユーザーが誘導されます。情報の略取やセッションIDの固定によりさらなる攻撃の足がかりとされるなどの被害が予想されます。本来のウェブサイトから別のサイトへまたいで（クロスして）攻撃が行われることからクロスサイトスクリプティングと名付けられています。

マルバタイジング

攻撃者が悪意ある広告を配信し、そのクリックや閲覧により悪意あるスクリプトが実行され、マルウエア感染の被害に遭ってしまう攻撃です。普段信用して利用しているウェブサイトやアプリケーション内でマルバタイジングが行われることもあり、ユーザー自身も気付かないうちに不正なサイトへ誘導されてしまう場合も少なくありません。

不正なサイトへのアクセスを防ぐにはどうすればいいのか

これまでに取り上げたような攻撃には、どのような対策をとればよいのでしょうか。

1.被害情報の収集と社員教育の徹底

標的型メール攻撃や水飲み場攻撃に対抗するためには、そもそも不審なメールは開かない、不用意にURLをクリックしない、ウェブサイトに不審な点があったら情報システム部に報告するなどの基本的なルールを社内教育として広めることがかかせません。とはいえ、近年の攻撃手段は巧妙化しており、社内全体のセキュリティ意識を高く保つだけでは防ぐことが難しいのも事実です。そのため、最新の情報セキュリティ被害の状況について収集するとともに、社内で共有し定期的に注意喚起を行うことが求められます。

2.ウイルス対策ソフトやブラウザのセキュリティ機能の導入と更新

不審なメールのフィルタリングやファイアーウォール、ウイルス対策ソフトやセーフブラウジング機能の活用はもちろん、不正なサイトへのアクセス対策として有用です。不正なウェブサイトの情報を収集し、アクセスを未然にブロックするウェブレピュテーション機能も水飲み場攻撃やクロスサイトスクリプティング対策として効果を発揮します。新たに見つかった脆弱性への対応としても、ウェブレピュテーションを有効に保つためにもOSやセキュリティソフト、ブラウザのアップデート管理が重要になります。

3.不正な通信やマルウエア感染を検知する機能・システムの導入

水飲み場攻撃のような標的型攻撃や、頻繁に訪問するサイトへのクロスサイトスクリプティングは、攻撃を受けたことに気付けず、被害が拡大してしまうリスクが存在します。そのため、マルウエアへの感染や不正なサイトへのアクセスを未然に防ぐとともに、検知する仕組みを導入することも不可欠です。攻撃用のC＆Cサーバーからのアクセスを検知し通信を自動的にブロックする不正通信ブロック機能や、EDRがそのために貢献するでしょう。

EDRについて詳しくは『「EPP」と「EDR」の違いは？』をご参照ください。

自社が被害に遭わず、攻撃に利用されないために重要なこと

不正なサイトへのアクセスという身近なリスクの存在と、その巧妙な手口、対策方法についてご紹介しました。企業には、自社が水飲み場攻撃やクロスサイトスクリプティングに遭わないだけでなく、自社サイトをそうした攻撃に利用されないための対策を施す責任があります。被害に遭わず、またサイバー攻撃に利用されないために、最新の手口を押さえ、共有することに取り組み続けましょう。