TokyoBlackHatNews

darkreading.com 8分で読了

テクノロジーはこれらの脅威を止めることはできません — あなたの人々は止めることができます

Image

出典:Alamy Stock Photo経由のLightField Studios, Inc.

意見

強い記事がすべきように、私は注意書きで始めます:技術的なセキュリティコントロールは極めて重要です。すべてをデプロイしてください — SOARプレイブック、SIEMログインジェスチョン、EDRクライアント — そして予算と時間と人員があるだけ使用してください。そして、安全なすべてのために、チューニングを止めないでください。

しかし、これらの同じ技術的コントロールは、実際のシステムと信頼できる従業員を回避または悪用するために特に設計された増加するカテゴリーのサイバー攻撃を止めることはできません。

これらの場合、あなたの最良(そして時には唯一の)防御は別のダッシュボードや検出ではなく、何を見ているのか、そしてそれを止めるために何ができるかを知っている従業員です。

新しいレポートは、昨四半期の人的脅威の状況を分析し、セキュリティコントロールのデプロイを上回るペースで進む10の重要なサイバー脅威の合計を発見しました。

これらの調査結果について私を打ったのは、攻撃がどのように機能したかだけでなく、各ケースで最も効果的な対策がいかに一貫して人間の行動に戻ってきたかです — より優れたテクノロジーが構築されている間の応急処置としてではなく、真に交換不可能な補償統制として。

セキュリティチームが2026年第1四半期で悪用された人間の行動と攻撃のトレンドを分析し始めるとき、私は特に関連性があると思った4つのサイバートレンドを抜き出しました。

BEC:セキュリティコントロールが止めることができないソーシャルエンジニアリング攻撃

ビジネスメール侵害は、統計的に、現代の脅威状況で最も効率的な攻撃です。

2025年の「Microsoftデジタルディフェンスレポート」によると、BEC攻撃は昨年の試みられた攻撃の2%を占めていましたが、成功したすべての攻撃の21%を占めていました。比較のために、ランサムウェアは成功した攻撃のわずか16%を占めていました — 実質的により多くの注意とセキュリティ投資を受けたにもかかわらず。

なぜBECはそんなに効果的なのでしょうか?それは純粋なソーシャルエンジニアリング攻撃だからです。検出するマルウェアはなく、ブロックするリンクはなく、サンドボックスするペイロードはありません。

攻撃者は、認可された従業員が「通常の」ビジネスプロセスの一部として意図的にお金を移動するようにだまします。または、「緊急の」支払いのための技術的なセキュリティコントロールをバイパスするようにコーチすることもあります。彼らは、性急な内部幹部またはよく意味する外部ベンダーのふりをします。それぞれは正当に聞こえるような緊迫感があります。

EDRはよく知られたビジネスプロセスにフラグを立てません。メールセキュリティゲートウェイはすべての試みをキャッチできません。受信箱外の音声フィッシング電話として来るものもあるからです。これらの技術的なコントロールはまさに設計通りに機能しています:彼らの観点からは、異常なことは何も起こりませんでした。

ここでの人間的な解決策は複雑ではありませんが、実際に機能するには投資が必要です:通常の状況外のリクエストのためのポリシー準拠を作成し、トレーニングし、実施する — そして重要なことに、金銭転送リクエストにポンプブレーキをかけた従業員を罰しないでください。金曜日の午後のCEOのメールから来たからです。

その一時停止はコントロールが機能しています。そのように扱ってください。

CrowdStrikeの「2026年グローバル脅威レポート」が、その事件の83%が「マルウェアなし」感染によって引き起こされたと述べているとき?私たちはもっとこのような攻撃が来ています。

シャドウAI:DLPツールが来るのを見ないデータ違反

シャドウAI — 従業員が認可されていない生成AI機械をシステムに接続する場所 — は、昨四半期のFableカスタマー環境全体の最大リスク要因の1つでした。これらの調査結果は、職場でのコントロールされていない、認可されていないAIツールの真のリスクを定量化する増加する研究体によってサポートされています。

1つの調査は、例えば、従業員の51%が認可されていないAIツールをシステムに接続していたことを発見し、これらの従業員のほぼ3分の1が独占的な財務情報を言われたAIツールにアップロードしていました。

このサイバーリスクについて、技術的なコントロール上の課題は構造的です。データ損失防止(DLP)ツールは、コンテンツが何であるかを評価するようにトレーニングされています。特定のコンテキストで共有するのが適切かどうかではありません。彼らはチューニングするのが非常に難しく、平均的な47%の偽陽性率があり、セキュリティチームはアラートで積極的に行動することに消極的です。

一方、未認可のAIツールに契約概要をアップロードする従業員は、悪意を持ってそれをやっているのではありません。彼らは彼らの仕事をより速くしようとしており、単により良い知りません。ここでの人間的な層は、技術的なコントロールができない2つのことを達成できます:

  1. データ感度ラベリング — 何が機密であるかを理解し、実際に分類できる従業員は、下流コントロールがより良く機能するようにします。

  2. どのツールが認可されているか、なぜかを理解することはコンプライアンスチェックボックスではありません。それはDLPアラートが一度も発火する前に起こる決定ポイントです。

このリスクは、自律型システムが機密データに対して行動し、以前のユーザーの権限を継承する代理人AIツールでさらに顕著になります。ここ数ヶ月、ガードレール抜きでAIエージェントを運転するとどうなるかについて、多くの恐ろしい話を聞きました。最近見た最悪のうちの2つには、コーディングエージェント(容疑者)が含まれます。原因AWSで13時間のサービス中断と、脅威アクターハッキングパスワードマネージャーブラウジングAIエージェントが悪意のあるプロンプトを摂取したため。

そしてそれはプレスを作ったホラーストーリーのいくつかです。カンファレンスホールウェイでCISO、SOCリード、または監査人に尋ねて、あなたはもっと、より悪い影の統治問題について囁かれたのを聞くでしょう。これらの囁きは、従業員が彼らのAIエージェントサイドキックに与えているものを教えるまでの間のみ大きくなります:

  1. 個人ごとにコンテクスト化された機密データのように見えるもの。カスタマーサービスのサムが彼対デベロッパーのデイブが「機密データ」が何を意味するかを知っていると期待するように、フェンスの上に投げ出されていません。

  2. AIエージェントが何にアクセスしているか、個別にもデータセットとアプリケーション全体で累積的にも?読み取り専用または編集権限ですか?

自然言語ツールは、技術的なコントロールが約束するものに関係なく、常にある程度自然言語脆弱性を持ちます。あなたの従業員は、両方に対処できる唯一のパッチです。

音声フィッシングによるMFAバイパス:高価なテク、シンプルな人間の修正

2026年1月、ShinyHunters脅威グループは、100以上の組織全体で認証アプリとトークンを侵害したバイパス技術を実証しました。

これらの攻撃について攻撃者帰属の前に発表している研究者注記「リソースへのアクセスのためにフィッシング耐性を実施する代わりはありません」とYubikeyを列挙し続け、身元アクセスマネージャーのある種、またはパスワードレスソリューション。

しかし、これらのソリューションはしばしば法外に高額であるか、展開に時間がかかります。ShinyHuntersと、ダークウェブからそのフィッシングキットを購入する誰でも、人々を今すぐだまします。

幸いなことに、人間的なコントロールはほとんど教えるコストがなく、すぐに どこでも保護します。ソリューションが利用できないか、まだ展開中です。正当なITまたはセキュリティチームメンバーは、従業員に1回限りのパスワードまたは認証コードを要求することはありません。完全に。誰かがメール、電話、Slack、チケットで要求した場合は、署名済みテレグラムによって、それは攻撃です。それを知って拒否する従業員は、攻撃者がバイパスしたばかりの認証層よりも信頼性の高いコントロールです。

この攻撃 — そして多くはそれのようなもの — ケースではないのは、トレーニングがあなたのフォールバックチェックボックスソリューションになることができます。実は、ユーザーベースの意味のある部分については、それはあなたの主要防御です。

量子の気晴らしと攻撃者が実際にやっていること

量子コンピューティングは、セキュリティ会話の中で暗号化への現在の脅威として多くの放送時間を取得します。さて、「Q日」は確かに長期的な懸念です。政府契約の更新の真ん中か、他の方法では機密データを保存している場合は、国家レベルのスパイが欲しい、あなたは投資したいでしょう。

しかし、量子復号化はほぼ確実に今あなたの最も緊迫した問題ではありません。

何ですか。今すぐ問題ですか?以前にリークされたデータ。昨年、データインシデントで対象となったユーザー名の85%が表示された前の認証情報のリークで。攻撃者はなぜ暗号化を破るのに悩まされるのでしょうか。彼らはただ「リアル」ユーザーとしてログインしたり、3年前のそのパスワードリークからダークウェブから購入した認証情報を使用したりできるとき、データにアクセスする?

見て、量子耐性暗号化は実際の投資カテゴリです。しかし、従業員が正しくパスワードマネージャーを使用するように教えること — ランダム化、長い、ユニークな、ブリーチ後に更新 — は、今規模で実際に起こっている攻撃のための安い、速い、より直接的な影響力のあるコントロールです。未来的な脅威が現在の平凡な脅威を追い出さないようにしてください。

究極的には、ダークウェブ認証情報リーク、影のAI、およびその他のサイバーリスクを技術的なコントロールを回避するために、従業員は組織の最後の防衛線に留まることができません。彼らは最初から彼らを止めるのに有利な立場にある唯一の線です。

最新のダーク読書機密ポッドキャストを見逃さないでください。USBペネトレーションテストのストーリーがどのように風病したか。2十年前、ダークリーディングは最初のブロックバスター作品を投稿しました — ペンテスタによるコラム。彼は信用組合駐車場の周りに仕掛けられた親指ドライブを散布し、好奇心のある従業員が残りを行うようにしました。このエピソードは、歴史的な作品とその著者、Steve Stasiukonisを見ます。 今すぐ聞いてください!

翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/tech-cant-stop-these-threats-people-can

ソース: darkreading.com
#MFAバイパス #サイバーセキュリティ #シャドウAI #セキュリティ意識向上 #ソーシャルエンジニアリング #データ漏洩防止 #ビジネスメール侵害 #人的リスク #認証セキュリティ #音声フィッシング

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開