実例から紐解く、NRDがもたらす脅威の真実

サイバー攻撃者がデータ漏洩を仕掛ける際、その大半でフィッシングの手法が用いられています。IBMの調査では、全攻撃の実に41%がフィッシングに起因するという驚異的な数字が報告されており、デロイト社も「攻撃の5件に2件はフィッシングによるもの」と指摘しています。

また、APWG（フィッシング対策ワーキンググループ）の分析によれば、フィッシングドメインの77%が、最初から悪意ある目的のために登録されていることが明らかになりました。これらのドメインは、大規模なフィッシングやマルウェア拡散の「起点（ローンチパッド）」として利用されるケースが非常に多いため、ドメインを精査することは、現代のセキュリティ対策において極めて重要なプラクティスとなっています。

同様に、Interisle Consulting Groupの調査においても、フィッシング攻撃の著しい増加とドメイン名の悪用には密接な相関があることが指摘されています。事実、サイバー攻撃に利用されたドメインの数は85%もの急増を記録しており、ドメインを悪用した攻撃がいかに拡大しているかを裏付けています。

Palo Alto Networksの研究結果も、こうした懸念をさらに裏付けるものとなっています。調査によると、ある時点では新規登録ドメイン（NRD）の70％以上が「悪意のあるもの」「不審なもの」、あるいは「ビジネス環境に不適切な（NSFW）もの」に分類されていました。この統計は、新しく開設されたドメインが長年にわたり、一貫してサイバーセキュリティ上の重大なリスク要因となっている事実を浮き彫りにしています。

NRD（新規登録ドメイン）が悪用されるのは、フィッシングだけではありません。マルウェアの配布経路や、攻撃の指令塔となるC2（コマンド＆コントロール）通信の媒介としても利用されています。

サイバー犯罪者は、ドメインの登録から有効化までを極めて迅速に行うことで、攻撃を即座に展開・高度化させ、従来の検知手法を容易にすり抜けます。 このような攻撃手法の進化は、Salesforceをはじめとするビジネス環境のセキュリティにおいて、今まさに解決すべき喫緊の課題となっています。

なぜ今、Salesforceのフィッシング対策を最優先すべきなのか？

Salesforceを利用する組織にとって、フィッシング攻撃は極めて深刻な脅威となっています。攻撃者はプラットフォームの広範かつ高度な機能を逆手に取り、極めて巧妙なサイバー攻撃を仕掛けてきます。

こうした脅威が狙うのは、主に「ヒューマンエラー（人の脆弱性）」です。巧妙に偽装されたメールや悪意のあるURLを用いてユーザーを心理的に操作し、ログイン資格情報などの機密情報を開示させるよう誘導します。たった一人のユーザーが欺かれるだけで、組織のシステム全体が侵害されるという、取り返しのつかない事態を招く恐れがあるのです。

1. データの整合性とセキュリティ：Salesforceは、企業の機密情報や顧客データが膨大に蓄積される「情報の宝庫」です。しかし、フィッシング攻撃によってひとたび不正アクセスを許せば、深刻なデータ漏洩へと発展しかねません。それは単なる情報の流出に留まらず、企業の社会的信用の失墜や、甚大な経済的損失を招く直接的な要因となります。
2. ユーザーの信頼とコンプライアンス：顧客は、組織が自身の個人情報を適切に保護してくれると信頼しています。フィッシング攻撃が成功すると、この信頼が損なわれ、顧客との関係が悪化し、ユーザーデータを保護するコンプライアンス規制に違反する恐れがあります。
3. 業務の継続性： フィッシング攻撃はSalesforceの通常の業務運営を妨げ、その結果、システム停止や生産性の低下を招きます。

NRDをプロアクティブにブロックすること。それこそが、最もシンプルかつ効果的な戦略です。

NRDの脅威を効果的に管理するには、組織の具体的なリスク許容度に合わせて調整された技術と戦略を組み合わせる必要があります。ユーザーの意識向上は重要ですが、Salesforceユーザーにフィッシングの探偵のような役割を期待すべきではありません。リスク許容度が低い企業は、NRDがSalesforceシステムと通信するのを積極的にブロックすべきです。WithSecure Cloud Protection for Salesforceは、リアルタイムのインテリジェンスを活用することで、組織がNRDを選択的にブロックできるようにします。このソリューションはドメインの登録時期を分析します。顧客は、7日、14日、30日、60日、または90日以内といった、直近の期間に登録されたドメインをブロックするように設定できます。

積極的なNRDブロッキングは、最も単純かつ効果的な戦略である

当社のインシデント対応チームは、NRDが要因となったSalesforce環境への攻撃を確認しました。こうした知見は、堅牢なNRD管理の必要性を再認識させるものであり、多くの企業顧客が求める厳格なコンプライアンス要件を満たす製品機能の開発にも影響を与えています。こうした顧客は、新規に作成されたドメインが自社のSalesforceプラットフォームにアクセスできないようにすることを、しばしば義務付けています。

「多くの企業、特に金融機関は、厳しい要件を設けています。例えば、開設から32日未満のドメインを自社のネットワークやプラットフォーム上で使用することを禁止しているのです」と、WithSecure Cloud Protection for Salesforceのビジネスオペレーション担当ディレクター、Anssi Korpilaakso (アンシ・コルピラークソ) は締めくくった。

この問題には、制度的な対策が必要である

サイバー攻撃における新規登録ドメイン（NRD）の悪用をより効果的に抑制するためには、当局は単にリスク管理の責任を被害者に押し付けるのではなく、より広範な規制措置を講じる必要がある。

• 規制監督： 当局は、サイバー犯罪者を不当に助長しているサービスプロバイダーに対してより厳格な規制を課すことができ、サイバー攻撃の手段を継続的に提供している事業者に対しては罰則を科すことも考えられる。
• 本人確認： 一括ドメイン登録に対して厳格な本人確認や認証要件を導入することで、サイバー犯罪者が匿名でドメインを取得することを困難にし、悪用を防ぐことができる。
• リソースの制限： 無料または低価格のウェブホスティングサービスで登録できるアカウント数やサブドメイン数を制限することで、攻撃者が有害なドメインを拡散させる能力を抑制できる。
• 自動監視： 疑わしい登録や利用パターンを監視・スクリーニングする自動システムを導入することで、悪意のある可能性のある活動を未然に検知できる。

包括的なフィッシング対策 – 100% Salesforceネイティブ

WithSecure™ Cloud Protection for Salesforceは、新規登録ドメイン（NRD）に関連するリスクを含む、URLベースの脅威に対する防御機能を強化します。常に更新されるこのURLスキャン機能スイートは、Salesforce内に潜む悪意のあるURLの危険性に積極的に対処します。

フィッシングやURLベースの脅威を即座に阻止： URL Protection機能は、フィッシングや悪意のあるウェブサイトから積極的に防御します。URLはアップロード時およびクリック時にスキャンされます。このリアルタイムでの精査は、脅威がシステムに影響を与える前に阻止するために不可欠です。

Dynamic protection against evolving threats: URL 脅威の性質は不安定です。かつて安全と見なされていたリンクも、後になって悪意のあるものになる可能性があります。「Click-Time URL Protection」機能は、アクセス時に URL を動的に評価し、変化し続ける脅威に適応します。

新規登録ドメインのブロック: ドメインの登録期間に基づいてアクセスをブロックできます。設定は、登録から 7 日から 90 日以内のドメインを対象に調整可能です。これにより、新設された悪意のあるサイトから仕掛けられる攻撃の被害に遭うリスクを効果的に低減します。

悪意のあるURLの包括的な検出： 本ソリューションは、ファイル内やQRコードの背後にある有害なURLを検出してブロックします。これにより、テキストフィールド内の目に見えるリンクを超えた保護が実現します。この包括的なアプローチにより、ドキュメントのアップロード内にエンコードされた隠れたマルウェアやフィッシングの試みを阻止します。

短縮URLの脅威をブロック： 利便性からよく使用される短縮URLは、危険なリンク先を隠蔽している可能性があります。当社のシステムはすべてのリンクを検証し、検出をすり抜ける可能性のある偽装された脅威に対するセキュリティを強化します。

最近、ヨーロッパや北米の人気観光都市で、偽のQRコードを使った駐車詐欺が横行しています。悪意のあるQRコードがSalesforceに侵入する可能性について、考えたことはありますか？この記事では、QRコード攻撃の手口、Salesforceが標的になりやすい理由、そしてそれらを防ぐ方法について解説します。

急増する「クイッシング」の脅威 — QRコードを悪用した新たな手口

北アイルランド警察（PSNI）サイバー犯罪センターが、フィッシング攻撃における悪意のあるQRコードについて注意喚起を掲載してから、まだ日が浅い。クィッシング（QRコードフィッシング）とは、QRコードを悪用して、警戒心の薄い人々を悪意のあるウェブサイトへ誘導する手口である。そこで被害者は、個人認証情報を開示させられたり、知らぬ間にマルウェアをダウンロードさせられたりする。QRコードは、レストランのメニューからチケットの認証に至るまで、あらゆる場面で利用されている。一方で、サイバー犯罪者たちはこれを悪用する絶好の機会を見出しています。正規のQRコードと偽造されたQRコードを人間の目で見分けることは困難です。幸いなことに、予防的なセキュリティ技術が存在します。そして今、その技術はSalesforceにも対応しています。

現実世界で確認されている「クイッシング」攻撃の具体例

典型的な「クィッシング」メールは、有名な企業からの公式な連絡を装うことがあります。例えば、パスワードのリセットやアカウントの確認など、緊急の対応が必要であるかのように装い、受信者にQRコードをスキャンするよう促す場合があります。

別の手口としては、給与計算やセキュリティ更新といった業務プロセスに関連する、一見無害なメッセージの中にQRコードを埋め込むものがあります。最近の事例の一つでは、米国の大手エネルギー企業を標的としたキャンペーンが行われ、マイクロソフトのセキュリティ通知を模倣したものが使用されました。

一方、詐欺師たちは公共の場でもQRコード詐欺を悪用する方法を見出しています。その一例が、英国の主要な観光都市で最近発生したQRコード駐車詐欺です。この詐欺では、多くの場合パーキングメーターに貼られた悪意のあるQRコードが、ユーザーをフィッシングサイトに誘導します。疑いを持たない被害者は、駐車料金を支払うふりをして、支払い情報を含む個人情報を入力してしまいます。その結果、金銭的な詐欺と駐車違反切符の両方のトラブルに巻き込まれる可能性があります。

わずか2ヶ月の間に、すでに1万人がこの駐車詐欺の被害に遭っています。犯行グループは、ヨーロッパ、米国、カナダ全域で同様のキャンペーンを展開しています。これらの詐欺は、現地の駐車アプリに不慣れで騙されやすい観光客を標的とするケースが多く見られます。

クイッシング攻撃の「キルチェーン」：侵入から目的達成までの全プロセス

デジタル世界において、クィッシングは通常、電子メールやテキストメッセージで送信されたQRコードから始まります。受信者はそのコードをモバイル端末でスキャンします。すると、被害者は悪意のあるサイトにリダイレクトされます。
フィッシングサイトは通常、正規の企業リソース、ログインページ、またはドキュメントポータルを模倣しています。そのページでは、従業員に対して認証情報の入力やファイルのダウンロードを促します。

認証情報を入力することで、従業員は知らず知らずのうちに攻撃者に社内アカウントへのアクセス権を与えてしまいます。攻撃者はその認証情報を利用して、機密情報を収集したり、組織内で攻撃を仕掛けたりすることが可能です。

この手法は、QRコードに対する既存の信頼を利用しています。QRコードは、秘密裏な作戦を展開するのに便利です。クィッシング攻撃は、従来のフィッシング攻撃や、メッセージ本文に悪意のあるリンクが明示的に埋め込まれている攻撃に比べて、発見されにくい傾向があります。これらのコードは、一見すると何の変哲もない無害な画像に見えるため、ほとんどのメールやコラボレーション用セキュリティシステムで実装されている、通常のテキストベースのURLスキャンをすり抜けてしまうのです。

QRコードフィッシングの主な手口：

• 身近なプラットフォームへの組み込み：クィッシングは、幅広い層にリーチし、信頼されているサービスやブランド名を利用して攻撃の成功率を高めるため、人気のあるプラットフォームを頻繁に利用します。
• 高度な実行手法：メッセージ内に悪意のあるQRコードを埋め込むことで、攻撃者は、画像に埋め込まれたURLをスキャンしない可能性のある従来のセキュリティ対策を回避することができます。
• 心理的な駆け引き：QRコードは安全な状況で使用されるという定着した慣習があるため、スキャンするかどうかはしばしば衝動的に決定されます。クィッシャーは、この衝動性に頼り、被害者が立ち止まって潜在的な危険性を考える可能性を低減させているのです。

Salesforce 環境におけるクイッシング対策が、特に困難とされる理由

総じて言えば、悪意のあるQRコードは企業にとって重大な脅威であり、Salesforceのようなプラットフォームを通じて配信された場合、その影響は特に深刻なものとなります。Salesforceがこうした攻撃にとって格好の標的となる理由、そして早急にプラットフォームのセキュリティ対策を講じるべき理由を以下に説明します。

信頼が前提となるプラットフォーム

ユーザーは、Salesforceを営業管理やカスタマーサポートにおける日常業務のための信頼できるプラットフォームと見なしています。従業員は、このプラットフォームを通じて受け取る通信内容について、一定のセキュリティと信頼が確保されていると想定しているため、細心の注意を払って精査することはあまりありません。この信頼感により、Salesforceを通じて送信されたQRコードは特に効果的になり得ます。なぜなら、従業員は疑いを持たずに素早くスキャンしてしまう可能性があるからです。詐欺そのものが、Salesforceのブランドイメージを利用することさえあり得ます。また、QRコードは一般的で一見無害に見える画像形式を採用しているため、疑念を抱かせにくくなっています。

組織全体への広範な普及

特に大企業において、Salesforceはあらゆる部門で深く浸透していますが、それは同時に「広大な攻撃対象領域」をさらけ出していることも意味します。Salesforceを通じて配布される悪意あるQRコードは、瞬く間に膨大な数のユーザーへ到達する可能性があり、攻撃者にとってはまさに「理想的な攻撃環境」と言えるのです。

モバイルデバイス特有の脆弱性

Salesforceはモバイル環境での利用が非常に多く、これはQRコードをスキャンするという行為と極めて高い親和性を持っています。しかし、モバイルデバイスはPCに比べてセキュリティ対策が手薄になりがちです。特に移動中のユーザーは、画面が小さく、注意力が散漫になりやすいため、セキュリティ警告を見落としてしまう傾向があります。さらに、私物デバイスの業務利用（BYOD）を許可している場合、企業の管理が及ばない「無防備なデバイス」が入り口となり、リスクはさらに増大します。

フィッシング防御の欠如

Salesforceは極めて堅牢なプラットフォームですが、デフォルトではフィッシング対策機能を備えていません。そのため、Salesforce環境内には、悪意あるQRコードの配布を検知・阻止する防御レイヤーが実質的に存在しないのが現状です。この「防御の空白」こそが、攻撃者にとっての格好の侵入経路となっているのです。

Salesforce の QRコードフィッシングを防ぐには、単なる意識啓発だけでは不十分です

ランダムにQRコードをスキャンすることの潜在的な脅威についてユーザーに周知することは間違いなく重要ですが、真の予防には多角的なアプローチが必要です：

• 高度な脅威対策：Salesforceへのアップロードに含まれるQRコードを認識・検査し、リンク先のURLがエンドユーザーに届く前に悪意のあるコンテンツがないか分析できるフィッシング対策ソリューションを導入する必要があります。
• 定期的なセキュリティ監査：QRコードを利用したフィッシングを日常的なセキュリティ監査やリスク評価に組み込むことで、セキュリティ上の脆弱性を特定し、是正することができます。セキュリティ監査において、Salesforceが徹底的にカバーされていることを確認してください。
• アクセス権限の制限：Salesforceは内部ユーザーに対して多要素認証（MFA）を義務付けていますが、ユーザーの役割に必要な範囲にアクセス権を制限し、最小権限の原則に従うことが賢明です。
• ソフトウェアと設定の更新： すべての統合機能に最新のセキュリティパッチが適用されていることを確認し、フィッシング対策スキャンソリューションが悪意のあるQRコードを検出できるよう適切に設定されているか検証してください。
• BYODの利用制限：最大の脆弱性のいくつかは、従業員が企業のセキュリティ対策の範囲外で個人端末を使用し、アカウント認証情報を収集するフィッシングサイトにアクセスする際に生じます。
• Salesforceユーザーの教育： QRコードに関連するリスクについてユーザーに継続的に啓発し、Salesforceのような信頼できるプラットフォームを使用する場合でも警戒が必要であることを強調してください。

Salesforce上の悪意のあるQRコードを自動的にブロック

クィッシングのような隠蔽されたフィッシング手口を防ぐには、警戒心と高度なセキュリティソリューションの両方が必要です。幸いなことに、簡単なスキャンだけで、こうした隠れた詐欺からデータとSalesforceユーザーを守ることができます。WithSecure™ Cloud Protection for Salesforceは、Salesforceのテキストフィールド内、QRコードの背後、およびアップロードされたドキュメント内の悪意のあるURLをスキャンします。当社のAntiQuishing機能は、ある企業顧客が実際に直面したフィッシング攻撃への対応として開発されたもので、その攻撃ではSalesforceが悪意のあるQRコードの標的となっていました。

無料相談をご希望の方は弊社チームまでお問い合わせください。また、無料のSalesforceリスク評価（数分で完了し、お客様の環境へのアクセスは不要です）をご利用いただくか、今すぐAppExchangeで試用してみてください。