これらの最新のソーシャルエンジニアリングのトレンドに注意してください

高度なツールや複雑なスクリプトに頼るのではなく、経験豊富な攻撃者は最も効果的な武器、すなわちソーシャルエンジニアリングを使ってシステムに侵入し、データを盗みます。ソーシャルエンジニアリングはサイバーセキュリティと心理学の交差点にあり、人間の行動を悪意ある目的のために利用します。

ケビン・ミトニックの伝説的な詐欺から今日のAI駆動型脅威まで、サイバー犯罪者は常に新しい戦術を開発しながら大きな進歩を遂げてきました。近年、ソーシャルエンジニアリング攻撃はより戦略的かつ精密になっています。

攻撃者はもはや、できるだけ多くの人から少額のお金を盗むことだけに注力していません。代わりに、主に企業内で広範な権限を持つ個人を標的にしています。これには、ネットワークの高い権限、リモートツールや機密データへのアクセス、大規模な金融取引を行う能力などが含まれます。

AI犯罪インテリジェンス

人工知能の進化はソーシャルエンジニアリングにも及んでいます。特にこの分野で発展した手法の一つがプレテキスティング（なりすまし）です。これは、被害者が誤った前提に基づいて攻撃者の指示に従わざるを得ないと感じる状況を作り出すものです。サイバー犯罪者はパートナーや顧客、または高位の経営幹部になりすまし、例えば被害者に送金させるなどして騙します。

最近、大手資産運用会社がこのようなソーシャルエンジニアリング攻撃の被害に遭いました。攻撃者が事前に徹底的なリサーチを行い、財務部門の高位グループリーダーに狙いを定めていたことが明らかになりました。

攻撃は、DocuSignから送られてきたように見える偽の秘密保持契約書（NDA）から始まりました。犯人は、すでに取引のあるパートナーになりすましていました。マネージャーはその書類に署名し、メールに記載された電話番号にかけるよう求められました。しかし、電話には誰も出ませんでした。

翌日、今度はそのパートナーとCEOを名乗る人物から折り返しの電話がありました。カンファレンスコール中、CEOはNDAの正当性を確認し、業務開始にはデポジットが必要だと説明しました。その結果、グループリーダーは詐欺師に100万ユーロのデポジットを送金しました。

調査の結果、実際のCEOはその通話に参加していなかったことが判明しました。攻撃者はAIを使って会社のトップの声をクローンし、グループリーダーを騙していたのです。

（フィッシング）メールの雨あられ

サイバーセキュリティの他の攻撃とは異なり、ソーシャルエンジニアリングはコードやネットワーク構造の脆弱性を突くことには重点を置いていません。代わりに、しばしばセキュリティチェーンの最も弱い部分である人間の行動を突きます。そして、すでに多忙な日のストレスは非常に効果的な引き金となります。

以下の例は、ソーシャルエンジニアリング攻撃がいかに戦略的になっているかを示しています。

ステップ1：問題を作り出す

攻撃者は、ストーリーをより信じさせるために技術的な問題を作り出すことがあります。一般的な手法は、メール爆撃やグレーメールの氾濫です。攻撃者は被害者のメールアドレスを多数のサービスに登録し、膨大な数の正規メールが届くようにします。例えば、ある被害者は2時間足らずで3,000通のメールを受信しました。

ステップ2：救世主として登場する

調査されたケースでは、被害者は必ずヘルプデスクマネージャーを名乗る人物から電話を受けていました。発信者は、業務が予定通り続けられるように問題を解決すると約束します。攻撃者は、被害者にログイン情報を明かさせたり、電話越しにデスクトップへのアクセス権を与えさせたりしようとし、緊急事態と思い込ませて成功することが多いのです。

偽りのチームプレイ

ソーシャルエンジニアリングに関連して、複雑なビッシング（音声フィッシング）攻撃の急増も観察されています。例えば、ハッカーグループBlack Bastaは、正規のMicrosoft Teamsログインを利用し、「Helpdesk」「Support Team」「Helpdesk Manager」といったユーザー名でTeams通話をかけ、被害者の信頼を得ようとします。

攻撃者は社内ITスタッフになりすまし、被害者にWindowsアプリ「Quick Assist」を使わせます。このツールは正規のWindowsツールであり、セキュリティ警告が出ないため、詐欺行為に信憑性を持たせます。被害者は「Ctrl + Windowsキー + Q」のキー操作をするよう誘導され、ウィンドウが開いてコードが生成されます。

これにより攻撃者は被害者のコンピューターにアクセスできます。サイバー犯罪者はその後、権限を拡大し、システム内を横断的に移動しようとします。調査されたケースの一つでは、数日間で数テラバイトものデータが環境全体から盗まれました。

セキュリティ管理者ができること

高度なソーシャルエンジニアリングの罠から従業員を守るのは困難かつ複雑です。しかし、いくつかの技術的および人的な戦略によって、攻撃の成功確率を下げることができます。

• TeamsやZoomには、信頼できるドメインや組織のみに通信を制限するオプションがあります。すべての信頼できるパートナーをリスト化し設定するには時間がかかりますが、非常に効果的な手段です。
• 一部の攻撃者は、ビデオチャットアプリの組み込みリモート機能を悪用します。ZoomやTeamsでは、外部参加者が通話中に他の参加者の画面にリモートアクセスできるかどうかを設定できます。プラットフォームごとに若干の違いはありますが、自社の要件に合わせて各機能を確認・設定することが推奨されます。
• 条件付きアクセスの導入は、社内のアクセス制御強化において重要な要素です。条件付きアクセスのポリシーは、最も単純な場合「もし〜なら〜する」というif-then文です。例えば、ユーザーがリソースにアクセスしたい場合、何らかのアクションを実行しなければなりません。あるいは、ユーザーがMicrosoft 365などのアプリやサービスにアクセスしたい場合、多要素認証を行う必要があります。セキュリティ管理者は、地理的な場所、ユーザーの種類、アプリケーション、さらにはトークン保護ポリシーなどに基づいてアクセスを制限する条件付きアクセスを実装できます。

基本的に、すべてのセキュリティ対策は「被害範囲（ブラスト半径）」、つまり侵害されたアカウントが引き起こす可能性のある損害を制限することに集約されます。これにより、攻撃者がどのような手段を使おうとも、長期的にサイバーリスクを低減できます。そして、ほとんどの場合、その目的は企業の機密データです。だからこそ、従業員の保護と意識向上はまさにこの点から始めなければなりません。

この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加をご希望ですか？