新しい調査で、誰がメール攻撃の標的になるのかが明らかに
Google Cloud Japan Team
Google では、10 億件以上のフィッシングやマルウェアのメールに加え、詳しく知られていない標的に関する調査を新たに実施し、このような攻撃のリスクに影響を与える要因を詳細に把握しました。
※この投稿は米国時間 2021 年 2 月 9 日に、Google Cloud blog に投稿されたものの抄訳です。
私たちは日々、1 億件以上もの有害なメールが Gmail ユーザーに届くのを阻止しています。昨年のパンデミック危機のピーク時には、COVID-19(新型コロナウイルス感染症)関連のマルウェアやフィッシングのメールが毎日 1,800 万件も送信されていました。これは、日々確認されている 2 億 4,000 万件超の COVID-19 関連の迷惑メールとは別に発生したものです。Google の進化した ML モデルでは、新たな脅威を認識してフィルタリングし、スパム、フィッシング、マルウェアがユーザーに届かないよう、その 99.9% 以上をブロックし続けています。
私たちは、フィッシングやマルウェアのメールの標的となる要因は何か、そしてリスクの高いユーザーは Google の提供する最も強力な保護機能を導入しているかどうかを確認したいと考えました。これを行うにあたり、スタンフォード大学の研究者と提携して、10 億件以上のフィッシングやマルウェアのメールに加え、詳しく知られていない標的に関する調査を実施しました。先ごろ、Internet Measurement Conference(IMC)で発表したその調査内容については、こちらからご覧いただけます。
私たちは、リスクの高さには複数の要因が相関していることを突き止めました。居住地、使用しているデバイス、過去の第三者によるデータ侵害にユーザーの情報が含まれるかどうかといった要因が影響していたのです。
想像以上のスピードで進化するフィッシングとマルウェア
Google では、Gmail が 5 か月間、自動的にブロックしたフィッシングとマルウェア キャンペーンをすべて集約して分析し、以下のようなパターンを特定しました。
攻撃の標的となったのは米国のユーザーが最も多く(攻撃の 42%)、次いで英国(攻撃の 10%)、日本(攻撃の 5%)の順である。
攻撃者のほとんどが、複数の国のユーザーに同じ英語のメール テンプレートを使用しており、対象国の言語に合わせたローカライズを行っていない。
ただし、地域的な攻撃者を示す裏付けがいくつかあり、日本のユーザーを標的とした攻撃の 78% は日本語で、ブラジルのユーザーを標的とした攻撃の 66% はポルトガル語で行われていた。
また、フィッシングやマルウェアのメールを配信する攻撃者やボットネットには、一定のパターンがあることに気付きました。
変化の速いキャンペーンを行っている。1 つのテンプレートを基にした類似のメールが、平均 100~1,000 人の標的となる対象者に送信されている。
キャンペーンは平均して 1~3 日と短期間で集中的に実施されている。
このような小規模キャンペーンでは、世界中の Gmail ユーザーを標的として、1 週間で合計 1 億件以上のフィッシングやマルウェアのメールが送信されている。
攻撃者が標的とするユーザーは週単位で変化しますが、総じてこれらのパターンが大きく変化することはありません。
リスクの高まりと相関する要因
攻撃者によるフィッシングやマルウェア キャンペーンの実施方法に加え、どのような要因がユーザーのリスクを高めているかについても分析しました。個々のユーザーやその個人データを特定されないようにするために、「k-匿名性」と呼ばれる匿名化手法を使用して、発見したリスクの傾向が類似したユーザーの幅広いグループに適用されるようにしました。特定の週にフィッシングやマルウェアのメールを受信する可能性を、地理的な場所、ユーザー属性、セキュリティ対策、デバイス アクセス、過去のセキュリティ インシデント(第三者のデータ侵害により個人データが漏洩したなど)の関数としてモデル化しました。
このモデルが検出した内容は以下のとおりです。
第三者のデータ侵害によってメールやその他の個人情報が漏洩すると、フィッシングやマルウェアの標的となる確率が 5 倍高まる。
居住地もリスクに影響する。ボリューム別では米国が最も多く標的になっているにもかかわらず、オーストラリアのユーザーは米国と比較して 2 倍の確率で攻撃に直面していました(1 人当たりではありません)。
ユーザー属性に関しては、55~64 歳が攻撃を受ける確率は、18~24-歳と比較して 1.64 倍高いことが判明。
モバイルのみ使用しているユーザーが攻撃を受ける確率は、マルチデバイスのユーザーと比較して 0.80 倍低い。これは、デバイスの所有者に関連する社会経済的な要因と、より裕福なグループを標的とする攻撃者に起因している可能性があります。
このような相関関係により、リスクが地理的な境界やユーザー属性に均等に広がっていないことが理解できます。
安全を確保するには
Gmail のフィッシング対策とマルウェア対策は、デフォルトで自動的に有効になっています。安全を確保するために今すぐ実施していただける重要な推奨事項について、以下にご案内します。
個人ユーザーの場合:
セキュリティ診断を実行し、カスタマイズされた実用的なセキュリティに関するアドバイスを確認します。
必要に応じて、Google の高度な保護機能プログラムへの登録を検討します。このサービスは、標的型オンライン攻撃のリスクが高いユーザーに、最も強力な保護機能を提供します。
Google Chrome で、セーフ ブラウジング保護強化機能の設定を有効にして、危険なウェブサイトやウェブ上でのダウンロードに対する防御を大幅に強化します。
追加のヒントを参照し、オンラインでのセキュリティを管理して、使用環境に合った適切なレベルの保護機能を選択します。
Workspace 管理者の場合:
Google の高度なフィッシングと不正なソフトウェアへの対策をご覧ください。これらはすべての Google Workspace ライセンスでデフォルトで有効になっており、組織固有のニーズに応じてさらにカスタマイズできます。
Google では、ユーザーの安全性の確保に加え、デジタル世界の安全性の維持に役立つ保護対策への投資も行っています。3 月 3 日に開催される Google Cloud Security Talks に参加して、最新の知見を入手しましょう。
-セキュリティおよび不正防止研究担当研究員 Kurt Thomas
-Gmail セキュリティ担当プロダクト マネージャー Neil Kumaran