以前のコラムでも「Booking.comに関連したフィッシング詐欺」としてフィッシング詐欺について紹介しましたが、今回のコラムであらためてフィッシング詐欺の事案でのフォレンジック調査を行ったケースについてご紹介したいと思います。

１．フィッシング詐欺とは

まず「フィッシング詐欺」について簡単に説明します。フィッシング詐欺とは、インターネット上で行われる詐欺の一種で、実在のサービスや企業をかたり、偽のメールやSMS（携帯電話のショートメッセージ）を送信し、個人情報（銀行口座情報やクレジットカード情報など）を詐取するものです。

最近では、攻撃者が銀行や宅配業者を語って本物と見分けがつかない偽サイトに誘導したり、実在する企業のメールアドレスになりすましたメールを送信したり、官公庁を名乗り偽の注意喚起のメールを送信したりと、様々な誘導方法が確認されています。

フィッシング詐欺により攻撃者に個人情報を送ってしまうと、その個人情報を利用されて金銭被害など、なりすましの被害に遭うリスクがあります。

以前から一般消費者である個人をターゲットにしたフッシング詐欺によってクレジットカード情報などを詐取する手口が有名でしたが、近年では企業のマイクロソフトの提供するクラウドサービスのアカウントを詐取して大規模な情報漏えい事件に繋がることが増加しています。

２．フィッシング詐欺の事例

①メールやSMSによるフィッシング詐欺

フィッシング詐欺の代表的な手口はメールやSMSを使ったものです。クレジットカード会社など企業や銀行など実在する企業名で利用者に以下のようなメールを送信します。

• 宅配会社からの不在通知
• クレジットカード会社からのカード利用停止通知
• 携帯会社からの料金未払い通知
• 電力会社からの料金未払い通知
• EC運営会社からの決済に失敗した旨の通知
• アカウントの不正利用があったので、本人確認するよう通知

これらのメールやSMSに記載されている偽URLをクリックさせ、クレジットカード番号やセキュリティコードやアカウント情報を入力させようとします。

②Microsoft３６５アカウントを標的にしたフィッシング詐欺

このメールによるフィッシング詐欺の1つの手法として、日本の多くの企業でも利用されているMicrosoft365のアカウントを標的とした、AiTMフィッシング攻撃が1万以上の組織を標的にしていたとのMicrosoftによる公表もありましたが、このように様々な手法でのフィッシング詐欺が行われています。

（参考）Microsoft：From cookie theft to BEC: Attackers use AiTM phishing sites as entry point to further financial fraud

③SNSのDM（ダイレクトメッセージ）によるフィッシング詐欺

InstagramやX（旧Twitter）などのSNSのDMを使ったものとなります。上記のメールやSMSの手口と同様に、SNSのDMで実在する企業の名称を使用して利用者にDMを送ります。メールやSMSに比べると、DMはクローズドな環境なので、利用者があまり疑うことなくURLをクリックしてしまいフィッシング詐欺の被害にあってしまうケースがあります。

④ウイルス感染警告によるフィッシング詐欺

パソコンやスマートフォンを利用している際に、突然画面に「ウイルスに感染しています」という警告メッセージを表示させるフィッシング詐欺です。この表示を消すために偽のURLへアクセスしてしまったり、偽のサポート窓口へ電話してウイルス除去のための作業費用を請求されてしまうというケースがあります。

３．フィッシング詐欺に対するフォレンジック調査

企業がフィッシング詐欺により不正に取得されたアカウント情報が利用され、企業が業務で利用しているSaaSへ不正アクセスされるという事案があります。その不正アクセスにより、SaaS上に保存されていたデータが攻撃者によって閲覧された可能性があるというケースでのフォレンジック調査事例をご紹介します。

①攻撃者の行動履歴調査

SaaSに記録されていたログ情報や、PC/サーバ等の端末側のログ情報を調査して、攻撃者の侵入経路、攻撃者が不正アクセスした可能性があるデータの範囲、攻撃者がどのような行為（検索、ドキュメントの閲覧、ダウンロード等）を行ったのかという行動履歴を明らかにします。これらの調査結果は公表や報告書作成の際に必要となる事項です。

社内のITチームにてこれらのログ調査を行うケースもありますが、その調査内容の妥当性や網羅性を第三者が検証・評価するという観点で、我々TMIP&Sのようなフォレンジックベンダーにおいてログ調査を行うケースもあります。

ITチームが調査対象としたログ情報だけで十分なのか、ログ情報から明らかになった事象は正しいのかといったことを検証していきますが、場合によってはITチームによる調査では見つからなかった事象がフォレンジック調査により明らかになるケースもあります。

その場合にはさらなる追加フォレンジック調査を行う必要がでてくるので、「ITチームが調査をしたから大丈夫」と思わずに、フォレンジックベンダーによるフォレンジック調査も行うことが望ましいです。

②個人情報漏えいの有無の調査

攻撃者によりアクセスされたデータの中に、従業員や取引先等のメールアドレスや氏名等の個人情報が含まれている可能性がある場合、企業としての公表や個人情報保護委員会への漏えい報告のための届出や各個人への通知が必要になることもあります。

そのため、データの中身に対してドキュメントレビュー作業を行い、ドキュメント内に個人情報に該当する情報が記載されているかどうか、記載されている場合はどのようなカテゴリーの個人情報（氏名、社会保障番号（Social Security Number）、銀行口座番号、アカウント情報等）の情報なのかを1ファイルずつチェックしていきます。

あらかじめキーワード検索を行いレビュー対象ドキュメントの絞り込みを行いますが、レビュー対象ドキュメント数が膨大な場合は、TMIP&Sの非弁護士レビューアーが、これらの大量のドキュメントを迅速にレビューしていくことも可能です。

③企業の機密情報情報漏えいの有無の調査

上記の個人情報の有無と同様に、企業の機密情報が攻撃者により不正アクセスされている可能性もあります。営業情報やクライアント情報、価格情報や技術情報など、企業にとっての重要な情報が漏えいした可能性はないかどうかを、ドキュメントレビュー作業を行いチェックしていきます。

このレビュー作業においても、TMIP&Sの非弁護士レビューアーがレビューを行っていくこともありますが、どのような機密情報を見つけてほしいかということは企業側からも情報を提供していただき、レビュープロトコル（レビュー作業指示書）を作成して、そのプロトコルに該当するドキュメントをレビューアーが見つけていくという作業になります。

３．フィッシング詐欺対応に関するまとめ

フィッシング詐欺に限らず不正アクセスにより企業が大きな被害を受けるケースは増えてきています。金銭的な被害だけでなく、これまで積み重ねてきた信頼を失ってしまったり、企業ブランドも低下してしまう恐れがあります。

日頃から従業員への注意喚起やウイルス対策ソフトの導入など、予防と対策に力を入れている企業は多いと思います。しかし攻撃者もその対策を突破しようと新たな手法で攻撃を行ってきます。

万が一、被害にあってしまった場合には適切な対応が必要となってきます。

TMIP&Sでは、TMI総合法律事務所と協力して、ランサムウェア被害やフィッシング詐欺などセキュリティインシデント対応が可能です。初動調査、トリアージ、原因究明のための詳細調査、個人情報保護委員会などの当局対応、再発防止策の策定、セキュリティ実装まで一貫してご支援できますので、お気軽にお問合せください。