ただ、セキュリティ現場の立場からすると「開幕したから一段落」とはいきません。

今回はCheck Point Researchの最新レポートをもとに、開幕後も進行中の脅威と、企業が今からできる対策をお伝えします。

「対策は済ませたのに」油断が生まれる瞬間

前回の記事では、W杯便乗の偽サイトやインフォスティーラー(認証情報を盗むマルウェア)についてお伝えしました。

多くの企業が「注意喚起はした」「フィルタリングも入れた」と一段落した気持ちになっているタイミングこそ、実は攻撃者が本領を発揮するタイミングです。

Check Point Researchが公開した最新レポートによると、大会開幕前の数ヶ月で攻撃インフラはすでに構築・展開済みで、金融、交通、旅行・宿泊、ギャンブルの4業界を横断し、10言語以上で仕込まれていたことが分かっています。

つまり「開幕日=攻撃開始日」ではなく、「開幕日=攻撃第2フェーズ突入日」と捉えるべきなのです。

セキュリティ運用の担当者としては、「もう対策したから大丈夫」と気を抜いた瞬間に想定外のインシデントが発生し、休み明けに慌てて経営層への報告資料を作る……という展開は避けたいですよね。

専門用語を「ビジネスの言葉」に翻訳すると

いくつかの技術用語をビジネス目線で言い換えてみます。

DMARC(なりすまし対策の署名の仕組み)

Proofpointの調査では、公式パートナー企業の3社に1社が、このなりすまし対策が不十分だと判明しました。

つまり「取引先や物流パートナーを名乗るメール」が、技術的な検証をパスして届いてしまう状態です。
空港・航空会社・ホテル・放送局といった大規模サプライチェーンの中で、請求書や支払い依頼を装ったメールが紛れ込むリスクが高まっています。

なりすましアプリ

大手スポーツブック8社を対象にした調査では、通常期にはほぼゼロだった偽アプリの検出数が、大会直前の2ヶ月間で64件、通常の約60倍に急増しました。

しかもGoogle Playを中心に、複数の開発者アカウントが連携して短期間に偽アプリを量産する組織的な動きが確認されています。

なりすまし予約サイト

ホテル・旅行系のなりすましドメインは、大会開幕の2ヶ月前(4月)に登録が集中しており、その多くがメール受信機能(MXレコード)まで設定済みでした。

つまり見た目だけの偽サイトではなく、パスワード再設定メールを横取りできる、稼働中のフィッシング基地だったわけです。

SOCサービス活用でどんなベネフィットがあるのか

こうした話を聞くと「うちの会社は監視の手が足りない」と不安になる方も多いと思いますが、ここでSOCサービスの効果を整理しておきます。

工数削減

DMARCレポートの解析や、偽ドメイン・偽アプリの監視を、AIセキュリティの異常検知エンジンを備えたプラットフォームに任せることで、担当者が全件を目視チェックする必要がなくなります。
セキュリティ人材不足に悩む運用チームにとって、これは体力的にも精神的にも大きな差になります。

リスク回避

なりすましメールやフィッシング基地を早期に検知・停止できれば、取引先や顧客からの信頼低下、資金被害、ブランドイメージの損失を未然に防げます。

上司への報告

「何件検知して、何件対応した」という定量データが手元にあれば、経営層への報告も一気にスムーズになります。
感覚論ではなく数字で語れることは、セキュリティ担当者にとって想像以上に心強い武器です。

実運用のハマりどころ:DMARCは一気に厳格化すると事故る

ここで一つTipsをお伝えします。
DMARCのポリシーを「none(監視のみ)」から一気に「reject(拒否)」に切り替えると、正規のメール配信サービスや取引先からの正当なメールまでブロックしてしまい、営業部門やカスタマーサポートから「メールが届かない」というクレームが噴出することがあります。

正しい進め方は、まず「none」でレポートを集めて送信元を洗い出し、正規の送信元をSPF/DKIMに登録した上で「quarantine(隔離)」へ段階的に移行し、最後に「reject」へ進めることです。

地味な作業ですが、この順番を飛ばすと社内から総攻撃を受けるので気をつけてください。