phishing
セキュリティ運用

サイバーセキュリティ企業がフィッシング被害に遭ったらどうなる?

ソフォスの従業員がフィッシングに遭いましたが、ソフォスはエンドツーエンドの防御プロセスで脅威を阻止しました。
作成者
Security Operations featured MFA MFA フィッシング Sophos X-Ops セキュリティオペレーション

** 本記事は、What happens when a cybersecurity company gets phished? の翻訳です。最新の情報は英語記事をご覧ください。**

サイバーセキュリティ業界で働いている方なら、「サイバー攻撃は『いつ起きるか』ではなく、『いつ起こるか』だ」という、有名な格言を聞いたことがおありでしょう。この格言の一歩先を行く考え方があります。トレーニングや経験、ソーシャルエンジニアリングの手法に関する知識は助けになるものの、巧妙に仕組まれた策略には誰でも引っかかり得るということです。適切な状況、タイミング、環境が揃えば、セキュリティ研究者を含む誰もが、脆弱性となる可能性があるのです。

サイバーセキュリティ企業も決して例外ではありません。2025 年 3 月、ソフォスのシニア従業員がフィッシングメールの被害に遭い、偽のログインページに認証情報を入力しました。この行動により、多要素認証 (MFA) がバイパスされ、ある攻撃者がソフォスのネットワークへの侵入を試みました。ただし、この試みは失敗に終わっています。

私たちは、このインシデントに関する外部の根本原因分析 (RCA) を Trust Center で公開し、詳細を説明しています。しかし、このインシデントは、私たちの考えを共有するのに最適な、興味深いトピックを提起しました。

第一に、MFA バイパスの増加に注意する必要があります。MFA が普及するにつれて攻撃者も適応し、現在では複数のフィッシングフレームワークやサービスが MFA バイパス機能を組み込んでいます (パスキーのさらなる利用を主張する理由の 1 つでもあります)。

次に、私たちがこのインシデントの詳細を共有するのは、攻撃を撃退したことを誇示するためではなく、エンドツーエンドの防御プロセスの好例であり、興味深い教訓を与えてくれるからです。

第三に、私たちの対応で鍵となったのは、制御、協力、および組織文化の 3 つです。

制御

ヒューマンエラーや表層のバイパスからの回復を容易にするため、私たちのセキュリティ制御は多層化されています。「多層防御」ポリシーの基本原則は、ある制御がバイパスされたり失敗したりした場合でも他の制御が発動し、サイバーキルチェーンの可能な限り広い範囲で保護を提供することです。

対応する RCA で議論したように、今回のインシデントには、メールセキュリティ、MFA、条件付きアクセスポリシー (CAP)、デバイス管理、アカウント制限といった複数の防御層が関与していました。攻撃者はこれらの層の一部をバイパスしましたが、その後の制御が発動しました。

しかし、さらに重要なのは、インシデント後も私たちが手を緩めなかったということです。攻撃は失敗しましたが、私たちはその結果に満足してすぐ通常業務に戻るようなことはしませんでした。私たちは攻撃のあらゆる側面を調査し、内部の根本原因分析を実施し、関与したすべての制御の機能を評価しました。制御がバイパスされた箇所では、その理由と改善案をレビューしました。制御が効果的に機能した箇所では、今後攻撃者がその箇所をバイパスするために取る可能性がある手段を自問し、対抗する方法を調査しました。

協力

ソフォスの社内チームは常日頃から緊密に連携しており、その主要な成果の一つが協力的な組織文化です。この文化は、社内で完結するものであろうと、顧客に影響を与えるものであろうと、緊急かつ活発な脅威がある場合に特に重要です。

Sophos Labs、Managed Detection and Response (MDR)、Internal Detection and Response (IDR)、そして社内 IT チームが、それぞれの専門分野と専門知識の範囲内で、情報と洞察を共有しながら脅威の排除に取り組みました。今後は、脅威インテリジェンスの収集能力を向上させ、フィードバックループを強化する方法を検討しています。これは社内だけでなく、より広範なセキュリティコミュニティ内での取り組みです。インテリジェンスを取り込み、実用化し、実行可能にして、私たちのシステム防御にプロアクティブに使用することが、主要な優先事項です。私たちは今回のインシデントに効果的に対応しましたが、常に改善の余地があるものと信じています。

組織文化

私たちは、同僚の過ちを非難あるいは批判するのではなく、問題解決と安全確保を最優先とする組織文化を醸成するよう努めています。また、フィッシングリンクをクリックしたユーザーを責したり、処分したりすることはありません。

この文化のおかげで、今回のインシデントの発端となった従業員は、フィッシングの罠にかかったことを同僚にすぐ伝えられました。一部の組織では、処罰への恐れや羞恥心から、ユーザーが過ちを認めることに抵抗を感じる場合があります。また、何も起きないことに期待して不審な状況から目をそらす人もいるかもしれません。ソフォスでは、すべてのユーザーは、その役職や年齢に関係なく、いかなる疑念でも報告することが推奨されています。本記事の冒頭で述べたように、私たちは、適切な状況下では誰もがソーシャルエンジニアリングの策略に引っかかる可能性があることを知っています。

人間関係はセキュリティにおける弱点であるとしばしば言われます。しかし、多くの場合、人間は最初の防御層でもあり、セキュリティチームへの通知、自動アラートの検証 (あるいは技術的な制御が失敗した場合にセキュリティ自身に警告すること)、そして追加のコンテキストやインテリジェンスの提供において、極めて重要な役割を果たせます。

結論

攻撃者は私たちの最初の防御層を突破しましたが、制御、協力、そして組織文化を組み合わせた対応により、攻撃活動は厳しく制限され、最終的にはシステムから排除するのに成功しました。インシデント後のレビューと得られた教訓により、私たちのセキュリティポスチャは強化され、次の試みに備えられます。これらの教訓を、本記事と RCA の両方で公にかつ透明性を持って共有することで、皆様のセキュリティポスチャも同様に強化されることを願っています。

著者について

Ross McKerchar is the CISO of Sophos. Ross has a BSc in Computer Science from Edinburgh University and joined Sophos in 2007. During his years at Sophos, Ross established and built Sophos’ cybersecurity program through periods of high company growth, including multiple acquisitions and an IPO on the LSE.

At Sophos, the CISO team runs all aspect of Sophos' own security including Security Architecture, Trust and Compliance, Product Security, Red Teaming and Security Operations. Sitting in the Sophos technology group alongside Sophos Labs and our customer-facing MDR team, we are part of Sophos X-Ops joint task force.

Out of work Ross has a passion for the outdoors and, when he’s not spending time with his young family, loves to travel around the world rock climbing, trail running or surfing.

関連記事を読む