ライブチャットでのフィッシング詐欺を回避する7つの方法

デヴォン・アッカーマン、アンソニー・ナットソン、アラン・ブリル

サイバー攻撃の大部分が悪意のある電子メールでの接続や添付ファイルに起因することは、今やほとんどの人が知っている。フィッシングメールは一般的であり非常に危険であるため、ほとんどの組織ではセキュリティ意識研修の重要性を学び、全従業員に向けてメッセージリンクや添付ファイルをクリックする前に立ち止まって考えることを奨励している。最近では、サイバーセキュリティ事故の犯罪学的分析により、フィッシング攻撃の新たな手口、すなわちライブチャット・プラットフォームの存在が明らかになっている。

パンデミックによって商取引や通信がさらにオンライン化されて以来とくに、ライブチャットシステムは、問題や質問を抱えたウェブサイト訪問者に受け入れられ、期待されるようになった。これらのシステムは、人間の介入なしにほとんどの質問に答えるように設計されている。例えば、「注文での支払いはどうすればいいですか」のような一般的な質問に対して、「質問ありがとうございます。当店では主要なクレジットカード、デビットカード、およびペイパルを利用できます」のような事前に定義された応答を引き起こすことができる。

ところが、犯罪者たちはあらかじめ定義された答えがない質問をすると、システムが説明を求めるか、人間の担当者に質問を送ることを発見した。このような環境でのフィッシング攻撃の鍵となるのは、質問にファイルを添付し、それを人間の担当者に送信する犯罪者の能力である。チャットセッションに添付されるファイルは、写真やスキャンした文書が問題の処理に役立つため、非常に一般的である。しかし、これらの添付ファイルにはマルウェアが含まれている場合もある。

多くのライブチャットシステムは添付ファイル、特に圧縮ファイルを解釈または分析しようとはしない。システムが人間に会話を引き渡す必要があると判断したら、担当者にチャットセッションと一緒に圧縮ファイルを引き渡すだけである。攻撃者の目的は人間の担当者にそのファイルを開かせることである。担当者は質問者と通信する前にファイルを開いてチャットの準備をすることがある。また、担当者と話し合うことで犯罪者がファイルを開かせることもあるかもしれない。いずれの場合も、追加の防御策がない限り担当者はファイルを開き、マルウェアがターゲットのネットワークに侵入して、攻撃者が成功することになる。

ネットワークに侵入したマルウェアはランサムウェア攻撃を仕掛けたり、攻撃者が後からデータを盗みやすいようにアクセス経路を設定したりすることができる。サイバー犯罪者はまずデータを盗み、次にシステムを暗号化して、両方を仕掛ける。しかも、盗まれたデータを販売する一方で、身代金の支払いを強要することもできるし、データを公表するという脅威でさらに支払いを強要することもできる。

最近のある事例では、犯罪者は自動化されたボット・ソフトウェアが知識ベースを使い尽くし、疑問に答えることができなくなるまで、企業のチャットシステムを攻撃した。これにより、ヘルプデスクのチケットが経理部に送られた（こうしたチケットに関してはIT専門家によって解決されることが低いため、犯罪者は支払いや請求に結びつくチケットを狙う傾向がある)。

このシステムでは、チケット発行プロセスの一環として、犯罪者が証拠として1つ以上のファイルを添付できるようになっていた。犯罪者はマルウェアが埋め込まれた文書を添付し、経理担当者は通常のチケット処理過程の一環としてそのファイルを開いた。ドキュメント文書を開くと悪意のあるスクリプト（マクロと呼ばれる）が実行され、マルウェアがシステム上で展開された。これにより、最終的には会社の内部ネットワークにアクセスできる認証情報やシステム情報を犯罪者が入手することになった。

今回の攻撃に対するアクセス・セキュリティレベルでは、犯罪者グループがランサムウェア攻撃でネットワークから数百ギガバイトのデータを流出させた後に、システムの大部分を暗号化することを可能にした。そして、システムへのアクセスを回復させ、盗まれたファイルが公開されるのを避けるために復号ソフトを購入するよう、二重に脅迫した。同時に、被害者のウェブサイトが機能しなくなり、その結果、ソーシャルメディアにコメントが殺到したり、ニュースで取り上げられたりして、事件解決への圧力がさらに高まった。

この事例から覚えておくべき重要点は、組織がヘルプデスクシステムの一部として添付ファイルのマルウェア対策を十分には行っておらず、また、従来のフィッシングメールとは異なり、同社はヘルプデスクチケットの入り口となる経理部門を教育していなかったことである。今回の事例は、新たな脅威ベクトルが明らかになるだけでなく、強固な安全文化プログラムの必要性を強調する。

予防措置をとる

ライブチャットを担当する担当者は、いわゆる「平均処理時間」と呼ばれる時間を最小限に抑えて、できるだけ多くのチケットに対応するようプレッシャーを受けることがよくある。しかも複数のチャットを処理する多忙な担当者にとっては、そのプレッシャーは容赦のないものとなる。

企業が自動的に生成される処理時間データに過度のストレスをかけると、担当者はセキュリティ担当者が望むよりも速く添付ファイルを開いてしまうことになる。結局のところ、担当者は短い処理時間目標を達成するように問題を解決しようとし、顧客のチャット後における満足度調査（チャットシステムの一般的な機能）で良いフィードバックスコアを得ようと努力している。これは、人的交流を必要とするチャットセッションの量が、担当者がそれらに迅速に対処するできる量よりも多い場合、特に困難である。

サイバー犯罪者はこのプレッシャーを理解し、そのプレッシャーを高めるために自分の役割を果たす。担当者に接続されると、問題をすぐに解決してほしいと願う怒れる顧客のように振る舞うことができる。以前に解決を試みて失敗したことや、要求を裏付けるために必要な書類をすべて添付していることなどを伝える。攻撃者の中にはプレッシャーをかけるのではなく、担当者への同情心を利用してチャットの時間を短縮しようとする者もいる。例えば、次のように言うかもしれない。「母が購読予約の段取りをしたが、先週病気で倒れてしまい、私が見つけたのは、添付したスクリーンショットにある確認メールだけでした。キャンセルしたいのですが、手伝ってもらえますか。」

多くのチャットシステム（およびマルウェア対策システム）では、潜在的な問題を特定するために圧縮ファイルの内部を検索することをしないため、人間の担当者は攻撃者の話に騙されて添付ファイルを開き、うっかりしてマルウェアを起動してしまう可能性がある。

犯罪者はまた、重要で合理的と思われる問題を提起することを学んでいる。ランダムに言葉を並べるだけで、チャットシステムが開き、チケットを配布し人間の担当者にチャットを渡すかもしれないが、その際には担当者に何か問題があることを警告し、セキュリティでの関心レベルを上げることもありうる。結局のところ、これらの攻撃は、マルウェア配信の専門知識と優れたソーシャルエンジニアリングの技能を組み合わせたものである。なぜなら、チャットを開始する犯罪者は、リアルタイムで人間の担当者に対処する準備ができていなければならないからである。

では、チャットシステムによってもたらされ、成功するフィッシングからの攻撃リスクをどのようにして軽減することができるか。完璧な解決策はない。特に、正当な顧客がこれらのシステムを通じて助けを求め、文書を提供し、緊急の解決を要求する正当な理由があることが多くの場合であるからである。このようなユーザーへの対応に失敗すると、顧客との関係が脅かされ、劣悪な顧客サービスで広く注目されるリスクとなる。しかし、ライブチャット・フィッシングリスクを管理するために、取りうる重要な手段がある。

1. 知識は強みである。担当者が従業員であろうと、サードパーティーに任されていようとも、ライブチャット担当者にライブチャットのフィッシング詐欺について教育することが不可欠である。このような攻撃の仕組みを理解すればするほど、適切に疑うことを学び、被害に遭わないようにすることができる。
2. 数字がすべてではない。平均処理時間やフィードバックスコアを過度に重視すると、数字を上げようとする担当者の危険な行動を助長することになりかねない。これらの数字は重要かもしれないが、担当者がセキュリティを優先することも同様に重要である。処理時間短縮やフィードバックスコアの高さを追求するために、セキュリティを無視する必要があると考える担当者を決して置かない。
3. チャットシステムの機能を知っておく。チャットシステムで利用可能なセキュリティ関連のツールや技術を理解していることを確認する。ファイルを添付したチャットセッションでチケットを発行する際に、システムがどのようなセキュリティ・サポートを提供しているかに注意させる。他よりも優れているチャットシステムはあるし、幅広い機能を提供しているチャットシステムもある。しかし、それらが有効になっている場合に限られる。
4. どのような添付ファイルを許可するかを検討する。犯罪者が圧縮ファイルを好んで使用するのは、圧縮ファイルにマルウェアが紛れ込んでいると、アンチマルウェア対策ツールがマルウェアを検知する可能性が低くなるからである。圧縮されたファイル（.zipファイルなど）の添付を禁止し、ネイティブフォーマット（.docxや.jpgなど）の添付を要求すれば、システムが問題ファイルを自動的に検出する可能性が高くなる。あるいは、添付ファイルのアップロードを要求せずに必要な文書へのアクセスを提供できるカットアンドペーストオプションを備えた記入フォームを使用することも可能である。
5. セキュリティが確保された環境でのみ添付ファイルを開くことを検討する。ツールが利用可能であれば、添付ファイル付きのチケットをセキュリティが確保されたワークステーションに転送し、機密が守られる「サンドボックス」環境で添付ファイルを開き、マルウェアを検索することができるかもしれない。しかし、これは、外部から質問者がチャットセッションをあきらめないように十分に迅速に行われる必要があり、すべての状況において現実的であるとはいえない。
6. 攻撃が成功する可能性があることを認識し、それを念頭に置いた計画を立てる。マルウェア対策ソフトを常に最新の状態に保ち、端末での監視を活用して問題を迅速に検出する。予防策は100％効果があるわけではないので、マルウェアが起動した場合に被害を軽減するために、端末のセキュリティ監視が不可欠となる。さらに、チャット担当者用に独立した仮想デスクトップ環境を構築することで、ファイルが開かれて攻撃の連鎖が始まった場合でも、被害を軽減するための追加的なセキュリティ対策を講じることもできる。
7. チャットセキュリティを信頼するが、確認し、定期的にチャット環境を検査する。脆弱性査定は、構成機器、パッチ適用やその他の構造上の問題を検出するのに役立つ。また、チャットに焦点を当てた侵入テストは、技術的課題とソーシャルエンジニアリングを結合できるものなので、全体的なセキュリティ対策がどのように機能しているかを評価するのに役立つ。

ライブチャット・フィッシングは依然として新たな脅威となっている。まだ発生率は高くないが、IT部門やリスク管理部門が早急に対応する必要がある。従業員の意識、システム・セキュリティ評価やシステムテストのレベルを高めることによって、大規模なデータ盗難や、犠牲の大きいランサムウェア被害につながる可能性のある攻撃を阻止するための、より良い態勢を整えることができる。

注意事項：本翻訳は“7 Ways to Avoid Live Chat Phishing Scams”, Risk Management, September, 2021, pp.26-29 をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。

デヴォン・アッカーマンはクロール社のサイバーリスク実務で北米代表執行役員兼インシデント対応責任者。アンソニー・ナットソンはクロール社サイバーリスク実務担当上級副社長。アラン・ブリルはクロール社サイバーリスク実務上級執行役員で、法律事務所および企業でのコンピューター・デジタル技術関連の調査課題のコンサルタント。