脅威
企業へのサイバー攻撃と言えば通常、金融データ、知的財産、個人データ、ITインフラの4つの側面に焦点が当てられます。しかし、メール配信、広告プラットフォーム、SNS、プロモーションサイトなど、広報やマーケティングの部署が管理する企業資産もまた、サイバー攻撃の標的であることを忘れてはなりません。金銭的な見返りを求めるサイバー犯罪者にとって、あまり魅力的でないターゲットのように見えるかもしれません。しかしこれらは実は、サイバー犯罪者自身の「マーケティング活動」に役立つものなのです。
マルバタイジング
「マルバタイジング」とは、不正なサイトへの誘導やマルウェアに感染させることを目的とした悪質なWeb広告を意味します。サイバー犯罪者はここ数年、合法的な有料広告を積極的に使用しています。これには、情報セキュリティのエキスパートでさえも非常に驚いています。彼らは何らかの形で、バナー広告や検索プレースメントの料金を支払い、企業の販売促進ツールを採用しています。これまでに、多くのマルバタイジングの事例が確認されています。通常、サイバー犯罪者は、人気なアプリの偽Webサイトや有名ブランドの偽のプロモーションキャンペーンなど、幅広いオーディエンスを標的とした詐欺的な手法を駆使して広告を掲載します。彼ら自身で広告アカウントを作成し、広告費を支払うこともありますが、この方法では支払の詳細などあまりにも多くの痕跡が残ってしまいます。そのため、彼らにとってより好都合な別の方法が使用されています。企業の広告アカウントのログイン情報を盗み、ハッキングし、それを使用して自分たちのサイトを宣伝するのです。これは、サイバー犯罪者にとって二重の見返りがあります。余分な痕跡を残さずにすむこと、そして他人のお金を使えるということです。被害に遭った企業は、広告アカウントが台無しにされるだけでなく、悪意のあるコンテンツまでも配信していると判断されて広告プラットフォームからブロックされる可能性も高くなるなど、次から次へと問題が発生します。
マイナス評価とフォロワー数減少
上記の手口の派生型として、SNSの有料広告アカウントの乗っ取りがあります。SNSの特性により、標的の企業にはさらなる問題が生じます。
第一に、企業のSNSアカウントへのアクセスは、通常、従業員の個人アカウントに関連付けられています。よくあるケースですが、攻撃者が広告主のパソコンを侵害したり、SNSアカウントのパスワードを盗んだりするだけで、「いいね!」ボタンを押したり、他の人の投稿をただ見るといった無害な操作だけでなく、所属する企業が許可する範囲の操作、たとえば企業ページへの投稿、メッセージ機能を通じてフォロワーへのDM送信、有料広告の掲載などさまざまな操作が可能になります。アカウントを盗まれた従業員からこれらの操作の権限を剥奪するのは、その従業員が企業ページのフルアクセス権を持つ主な管理者でない限り簡単なことです。主な管理者である場合は、アクセス権の復旧には非常に手間がかかります。
第二に、SNS上の広告のほとんどは、特定の企業やビジネスのために作成された「プロモーション広告の投稿」の形式をとります。攻撃者が通常のビジネスのアカウントをハッキングして詐欺広告を投稿し、それを宣伝した場合、オーディエンスはすぐにその投稿を誰が公開したかを確認し、その投稿について苦情を直接申し立てることができます。この場合、企業は金銭的な被害だけでなく、目に見える風評被害も被ることになります。
第三に、SNS上では、多くの企業が「カスタムオーディエンス」(各種の製品や サービスに関心のある顧客や、過去にその企業のWebサイトを参照したことのある顧客の既成の集積データ)を保存しています。カスタムオーディエンスは通常、SNSから抜き取る(つまり、盗む)ことはできませんが、残念ながら、特定のオーディエンスに適した形でより効果的なマルバタイジングを、そのデータに基づいて作成することは可能です。
予定外の被害を招くメルマガ
サイバー犯罪者による無料広告のもう1つの効果的な方法は、電子メールサービスプロバイダーのアカウントを乗っ取ることです。攻撃されたのが大企業であれば、そのメーリングリストには数百万人の購読者がいる可能性があります。
メールへのアクセスをハッキングする方法は次の通りです。購読者データベースのメールアドレスに彼らが興味を引くような内容のメールを送信したり、配信予定の広告メールのリンクを書き換えたり、または後で別の方法でフィッシングメールを送信する目的で、購読者データベースを単純にダウンロードして窃取することができます。
この場合も、金銭的、技術的な被害と風評被害が発生します。「技術的」とは、メールサーバーにより今後の受信メッセージがブロックされることを意味しています。言い換えれば、悪意のあるメール発信によってあなたの企業が被害を受けた場合、メールプラットフォームの問題のみならず、不正な通信の発信元としてあなたの企業をブロックした特定のメールプロバイダーとの問題も解決しなければならなくなる可能性があります。
このような攻撃による間接的な被害は、顧客の個人データの流出で、これは非常に厄介な問題に発展します。データ流出は、それ自体で1つのインシデントとなります。風評被害を招くだけでなく、データ保護規制当局から罰金を科される可能性もあります。
千変万化のWebサイト攻撃
Webサイトのハッキングは、特にSNSやオフラインを中心にビジネスを展開するスモールビジネスの場合、長い間気づかれない可能性があります。サイバー犯罪者の視点で見ると、Webサイトをハッキングする目的は、サイトの種類や企業の事業内容によって異なります。Webサイトの侵害がより高度なサイバー攻撃の一部であるケースはさておき、一般的には次のような攻撃があります。
第一に、サイバー犯罪者がeコマースサイトにWebスキマーをインストールするケースです。Webスキマーは、Webサイトのコードに直接埋め込まれる、巧妙に偽装された小さなJavaScriptで、顧客が商品やサービスを購入し、代金を支払う時にカード情報を窃取します。顧客が何かをダウンロードしたりする必要はありません。
第二に、攻撃者がサイト上に隠れたサブセクションを作成し、そこに悪意のあるコンテンツを埋め込むケースです。このようなページは、偽のプレゼントキャンペーン、偽の商品販売、トロイの木馬に感染したソフトウェアの配布など、多様な犯罪活動に使用することができます。サイトの運営側が攻撃者の存在に気づかない限り、こうした目的で正規のWebサイトを攻撃することは彼らにとって最高の選択肢と言えます。実際、業界全体がこう言った方法で攻撃されている事例もあります。特に攻撃者が好むのは、マーケティングキャンペーンや 1 回限りのイベントのために作成され、その後管理されずに放置されているWebサイトです。
Web サイトのハッキングによる企業への損害は多岐にわたります。たとえば、悪意のあるトラフィックによるサイト関連コストの増加、サイトのSEOランキングの低下による実際の訪問者数の減少、クレジットカードへの予期せぬ請求による、顧客や法執行機関との係争が発生する可能性などです。
Webフォームの不正操作
企業のWebサイトをハッキングしなくても、攻撃者は自分たちの目的のためにWebサイトを使用する場合があります。必要なのは、フィードバックフォームや予約フォームなど、確認メールを生成するWebサイトの機能だけです。サイバー犯罪者は自動化されたシステムを使用し、このようなフォームの脆弱性を悪用してスパム送信やフィッシングに使用します。
仕組みはシンプルで、標的のアドレスを連絡先メールとしてフォームに入力します。一方、詐欺メール自体のテキストは、名前または件名フィールドに入力します。たとえば「送金の準備が整いました(リンク)」などの文面が入力されます。その結果、被害者は次のような文面の悪意のあるメールを受信することになります: 「XXX様、送金の準備が整いました(リンク)。お問い合わせいただきありがとうございます。追ってすぐご連絡いたします。」当然ながら、スパム対策プラットフォームは最終的にこのようなメールを通過させないようになり、被害を受けた企業のフォームは機能の一部を失う結果となります。さらに、このようなメールの受信者は皆、その企業をスパム送信業者と同一視するため、企業の評判も低下します。
サイバー攻撃から広報やマーケティング資産を守る方法
これまで説明した攻撃には非常に多くのバリエーションがあるため、包括的な保護が必要です。以下はその手順です。
- マーケティング部門全体に向けて、サイバーセキュリティ意識向上トレーニングを実施します。これを定期的に実施しましょう。
- パスワードの正しい扱い方を全従業員に徹底させます。特にSNS、メーリングツール、広告管理プラットフォームでは、プラットフォームごとに桁数が多い固有のパスワードと二要素認証を使用することを義務付けます。
- 企業のSNSやその他のオンラインツールにアクセスする必要がある全従業員に、1つのパスワードを流用する習慣をなくすよう徹底します。
- メーリングや広告のツール、およびWebサイトの管理パネルには、企業の標準(EDRまたはインターネットセキュリティ、EMM/UEM、VPN)に準拠した総合的な保護機能がインストールされている業務デバイスからのみアクセスするように、従業員を指導します。
- 総合的な保護機能を、個人所有のパソコンやスマホにインストールするよう、従業員に勧めます。
- 使用しない時は、メーリングや広告のプラットフォーム、その他類似するアカウントから強制的にログアウトする習慣を定着させましょう。
- 従業員の退職後はすぐに、SNSやメーリング、広告プラットフォーム、Web サイト管理システムへのアクセス権を失効させるようにします。
- 送信済みのメールのリストや現在掲載中の広告を定期的に見直し、Webサイトの詳細なトラフィック分析も合わせて確認することで、適切なタイミングで異常を発見できるようにしましょう。
- Webサイトで使用するすべてのソフトウェア(コンテンツ管理システム、その拡張機能)および業務用コンピューター(OS、ブラウザー、Officeなど)が、定期的かつ計画的に最新バージョンにアップデートされていることを確認してください。
- Webサイトのサポート請負業者と協力して、フォームの検証とサニタイジングを実施します。特に、意図しないフィールドにリンクが挿入されないようにしてください。また、同じ攻撃者が1日に何百回ものリクエストをするのを防ぐために「レート制限」を設定し、さらにボットを防ぐためのスマートキャプチャも導入しましょう。
ヒント