“ソースコード流出”のDropboxが強化するフィッシング対策は？：フィッシング攻撃を受けたDropbox【後編】

全てのフィッシング詐欺を検知することはほとんど不可能だ。Dropboxへのフィッシング攻撃から学べる教訓とは。

[Alex Scroxton，TechTarget]

　オンラインストレージサービスを手掛けるDropboxは、2022年10月にフィッシング攻撃の被害を受けた。攻撃では、同社がソースコード共有サービス「GitHub」で管理するソースコードの一部に不正アクセスがあった。同社は「全てのフィッシング攻撃を検知することは不可能だ」と語る。フィッシング攻撃への対策では何を重視すればよいのか。

フィッシング攻撃に有効な対策は？

併せて読みたいお薦め記事

連載：フィッシング攻撃を受けたDropbox

• 前編：Dropboxのソースコードを「GitHub」で流出させたフィッシング攻撃の手口

「フィッシング攻撃」関連の注目記事

• プログラミング言語「Go」で書かれたマルウェアはなぜ攻撃者に人気なのか
• 「Microsoft 365」を狙うフィッシング攻撃は“あの基本機能”を悪用していた

　Dropboxのセキュリティチームは、「攻撃者がアクセスした情報は限定的なものだったが、今回の件を受けて従来よりも高いセキュリティ基準を設けた」と説明する。

　今回の攻撃を受けて、Dropboxは多要素認証（MFA）の仕組みにパスワード不要の認証技術「WebAuthn」（Web Authentication）を採用することを前倒しするとみられる。同社は今回の攻撃よりも前にWebAuthnの導入を始めており、希望する顧客にはWebAuthnの機能を提供している。

　セキュリティベンダーCybereasonのCSOサム・カリー氏は、Dropboxがさまざまな企業のデータを保管する企業である点を指摘し、「Dropboxは攻撃者にとって魅力的な標的だ。攻撃を防ぐための対策を実施する責任がある」と述べる。一方で同氏は、「Dropboxは自社の弱点を把握している。同社は認証や認可を強化するための計画を加速させ、セキュリティを向上させている」と評価する。

　セキュリティ企業Outpost24 ABでCSO（最高セキュリティ責任者）を務めるマーティン・ジャーテリウス氏は、「フィッシング詐欺は効果的かつ安価で実施可能な攻撃手法であるため、ハッカーの間で人気を集め続けている」と話す。フィッシング攻撃を回避するための対策として、ジャーテリウス氏は以下を推奨する。

• ドメインが一致しない場合にパスワードを提出しない、ブラウザ統合型のパスワード管理ツールの使用
• ワンタイムパスワードを使用する多要素認証デバイス「YubiKey」の使用

　カリー氏は「企業が攻撃の被害を受けないためには、自社の規模や売上高から考える平均的なレベルよりも優れたセキュリティ対策を施さなければならない」とアドバイスする。具体的には、以下を実行し継続することが有効だ。

• 単一障害点を探すこと
• インシデントの発生後は、できる限り透明性を保つこと
• リスク評価を更新すること
• インシデントから教訓を得ること
• 顧客とパートナー企業を第一に考えて行動し続けること

　「歴史は、攻撃の被害者を犠牲者としてではなく、英雄か悪者かのどちらかで捉える。企業は英雄になるための決断をするべきだ」とカリー氏は言う。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。