近年、フィッシング攻撃は、規模も巧妙さも増してきています。今日の脅威は、一般的なメールの送信だけではありません。悪意のあるアクターは、二要素認証システム(MitM)攻撃、検出ルールを回避するQRコード、人工知能(AI)を使用してパーソナライズされた攻撃と標的型の大規模な攻撃など、高度なフィッシング手法を駆使しています。アンチフィッシングワーキンググループ(APWG)などの業界団体は、フィッシングインシデントが年々増加し続けていることを示しています。
フィッシング攻撃の増加とその複雑化に対抗するために、当社は検出と対応の両方を行う高度な自動化ツールを構築しました。
2024年上半期、Cloudflareはフィッシングレポートの37%を自動化された手段で解決し、ホストされたフィッシングレポートに対する対応時間の中央値は3.4日でした。2024年下半期に新しいツールを導入した後、自動化システムを拡張し、フィッシングレポートの78%を解決することができました。ホストされたフィッシングレポートに対する対応時間の中央値は1時間未満でした。
この記事では、これらの改善をどのように実現したかについて、詳しく掘り下げて説明します。
Cloudflareは、2023年~2024年にかけてフィッシング活動量が同様に増加したことを観測しました。当社では、Cloudflareサービスを利用しているWebサイトから潜在的に不正な動作を見たインターネット上のすべての人から不正利用通報を受けます。当社のTrust & Safetyの調査担当者とエンジニアは、これらの苦情に対応する任務を負っており、最近では、これらの報告書のデータを活用して、脅威インテリジェンス、ブランド保護、メールセキュリティ製品の提供を改善しています。
Cloudflareは、脅威検出と顧客のセキュリティを向上させるために、当社のネットワークを通じて流れる膨大なトラフィックを活用することを常に考えてきました。これは、当社がDoS攻撃やその他のサイバーセキュリティの脅威からお客様を保護する方法の中核です。私たちは、社内チームがフィッシングの軽減に使用しているのと同じ概念を適用し、当社ネットワークでのフィッシング検出能力と、お客様のブランドに対する潜在的なリスクを検出し通知する能力を向上させています。
昨年までは、Cloudflareに報告されたフィッシングの不正利用の修復には、手作業によるレビューと介入が必要でした。Trust & Safety(T&S)の調査担当者は、各苦情、通報者による主張、そして報告されたWebサイトのコンテンツを調べ、Webサイトがフィッシングかマルウェアかについて、できるだけ迅速に評価を行う必要があります。
顧客ベースの拡大とインターネット上でのフィッシングの増加を考慮すると、これは持続不可能になりました。不正利用について社内の専門家チームを編成してこの問題に取り組み、当社ネットワーク全体からの知見、メールセキュリティ製品からの内部データ、信頼できる外部ソースからのフィード、そして何年にもわたる不正利用通報処理データを活用して、フィッシング攻撃のリスクを自動的に評価し、適切な対応を提案する仕組みを構築することができました。
私たちは、Cloudflareの開発者プラットフォーム上に自動フィッシング判別機能を構築することで、どのように拡張するかを心配することなく、スキャン需要に応えることができました。これにより、当社は優れたフィッシング検出エンジンの開発により集中でき、その需要に対応するためのインフラストラクチャの構築に費やす時間を減らすことができました。
フィッシング検出Workerに送信された各URLは、まずCloudflare URL Scannerによるスキャンにかけられます。スキャンは、レンダリングされたHTML、ネットワークリクエスト、サイトの属性を提供します。スキャン後、HTMLとページリソースを社内の機械学習分類機能に送信して、サイトに関する評判情報を収集します。一方で、侵害インジケーター(IOC)は、当社の脅威フィードとドメイン分類ツールに送信され、既知の悪意のあるサイトやサイトの分類を強調表示します。
すべての情報を収集した後、T&S調査担当者がこれまで不正利用通報に対応してきた方法や、当社が観察した悪質な行動のパターンに基づいて、そのURLがフィッシングであるかどうかを識別する一連のルールとヒューリスティックのチェックにかけます。ルールは、レポートに対する決定や、有害なコンテンツに対する対策を提案します。このプロセスを通じて、T&S調査担当者による手動レビューをフィッシング判別の自動化されたフローに変換することができました。また、報告者が間違いを犯したり、意図的に悪用プロセスを武器化しようとしていることも認識しています。したがって、私たちのルールは、正当なウェブサイトに対して意図的または非意図的にレポートが作成される誤検知の可能性を考慮する必要があります。誤検知は顧客の信頼を損ない、インシデントを引き起こす可能性があるため、自動化には誤報を無視するプロセスを含める必要があります。
このすべての魔法は、Cloudflare開発者プラットフォーム上の強力なツール群にありました。KVを使用して無限にスケールするレポートの概要を保存するにせよ、Durable Objectsを使用して時間と共に追跡または活用できる無制限の数の属性のカウンターを実行し続けるにせよ、これらのソリューションを迅速に統合し、新しいエンリッチメントの追加や削除が容易にできるようになりました。また、Hyperdriveを使用して不正利用通報を保存している社内のPostgresデータベースにアクセスし、Queuesを使用してスキャンジョブを管理し、Workers AIを使用して機械学習分類機能を実行し、D1を使用して有効性と評価レビューのための検出ログを保存しています。これらすべてをまとめるために、チームはRemix Pages UIもデプロイし、フォローアップ調査と結論に至っていない結果の評価のために、フィッシング検出エンジンの分析すべてをT&S調査担当者に提示しました。
Trust & Safetyのフィッシング自動検出パイプラインのアーキテクチャ
不正利用通報処理を迅速化し、洗練させるために収集しているインテリジェンスは、不正利用対応だけでなく、お客様を強力にサポートするためにも活用されています。不正行為のパターンやトレンドを分析することで、フィッシング攻撃で使われる一般的なフレーズの特定、悪意あるアクターが使用するインフラの認識、複数ドメインに連なって行われる活動の検出を行い、当社のアプリケーションセキュリティ、メールセキュリティ、脅威インテリジェンス製品の有効性を高めます。
ブランド保護を利用しているお客様にとって、これは大きな利点となります。Cloudflareのダッシュボードから直接、疑わしい不正利用を簡単に報告できるということです。この機能は、潜在的なフィッシングサイトに迅速に対応し、お客様とブランドの評判に対するリスクを最小限に抑えます。さらに、Trust&Safetyチームはこの情報を活用して、Cloudflareネットワーク全体で同様の脅威に対処し、ブランド保護ユーザーでないお客様を含むすべてのお客様を守ることができます。
ネットワーク全体への取り組みに加え、私たちはお客様やCloudflare社外の専門家とも協力し、彼らが自社のフィッシング軽減対策で見ている傾向の把握に努めています。攻撃の標的に影響を与える不正利用問題に関する情報を求めることで、Cloudflare製品の不正利用をより適切に特定し、防止することができます。これらのパートナーシップと外部組織との議論を活用して、新たに出現するフィッシング活動のパターンを未然に防ぐための高度にターゲットを絞ったルールを作成することができました。
総力を挙げた取り組みが必要です。何か異常を見かけたら、すぐに報告してください
Cloudflareのネットワークを通過しているフィッシング活動を見つけたと思われる場合は、 不正利用通報フォームからご報告ください。プログラム化された方法で当社に報告することに関心をお持ちのテクニカルユーザーの方は、当社の不正利用通報APIドキュメントをご覧ください。
お客様の皆様に、インターネットをより安全にするために、ぜひご協力をお願いします。
Enterpriseのお客様は、デフォルトで含まれているブランド保護の有効化について、Customer Successマネージャーにご相談ください。
既にブランド保護製品をご利用中のお客様は、ブランドのアセットを更新してください。これにより、お客様の正当なWebサイトやロゴをより適切に識別できるようになり、フィッシングアクティビティの可能性を排除できます。
Cloudflareをご利用のお客様は、Cloudflareダッシュボードで不正利用連絡先が最新のものであることを確認してください。