組織がセキュリティ基盤への投資を強化するにつれ、堅牢なセキュリティアーキテクチャの普及により、企業ネットワークへの侵入はますます困難になっています。
こうした強固な防御を突破するため、高度な脅威アクターはソフトウェアの脆弱性を狙う手法から、人間の心理を突く手法へと軸足を移しつつあります。
最近実施されたソーシャルエンジニアリングの評価テストでは、こうした攻撃がいかに高度なレベルに達しているかが示されました。攻撃者は「匿名情報提供を求めるジャーナリスト」を装うことで、上級幹部を陥れることができると実証されています。
大企業で特権アクセスを得るには、経営幹部(Cスイート)を標的にする必要があります。しかし、上級幹部はフィッシングに引っかかりにくいことで知られています。
幹部たちは日々、大量の悪意あるメールにさらされているため、「パスワードのリセット」といった一般的な手口はほとんど通用しません。
幹部を標的として確実に攻略するには、真実味があり、緊迫感と重大性を感じさせ、即座の対応を促すような、精巧なシナリオを用意する必要があります。
現代の脅威アクターは、力任せの技術的手法に頼るのではなく、入念な事前調査によって圧倒的な信頼性を作り上げます。
標的型フィッシングキャンペーンの土台となるのが、オープンソースインテリジェンス(OSINT)です。攻撃者は企業ブログ、SNSプロフィール、プレスリリースを日常的に収集し、進行中の企業イベントを偽装の根拠として活用します。
今回の評価テストでは、調査チームが標的企業のウェブサイトを調べたところ、大規模な新施設の建設計画を発表したプレスリリースが見つかりました。
この注目度の高いオフィス拡張プロジェクトは、経営幹部全員が当然知っており、ブランドを守るために全力を注ぐであろう、企業の重大な節目でした。
この公開情報を活用し、セキュリティチームは衝撃的でありながら完全に信じ込ませられるシナリオを作り上げました。それは、建設現場で有害廃棄物が不正に処分されているという、偽の匿名情報提供です。
大規模な企業拡張中に生じる環境問題は、深刻かつ即座のレピュテーション損害につながります。このシナリオは、経験を積んだ幹部の警戒心を解くのに必要な「緊急性」と「企業リスク」を絶妙に組み合わせたものでした。
特定の個人を名指しして衝動的なパニックを引き起こさないよう、チームはこの偽の出来事をより長い期間にわたって発生したものとして描写しました。
さらに地元の報道機関を調査し、実在の記者になりすました上で、
そのジャーナリストの名前でProtonMailアカウントを登録しました。内部告発者や調査報道と広く結びついているプライバシー重視のメールプロバイダーを意図的に選択することで、
このさりげない運用上の細部が人物像に自然な信頼性を加え、差し迫ったニュース報道の脅威をより現実味のあるものに見せました。
このソーシャルエンジニアリングキャンペーンの成功は、忍耐と心理的操作に大きく依存していました。最初のメールに悪意あるリンクを含めることは、セキュリティ意識の高い幹部にとって明らかな危険信号です。
そこで攻撃者は、各経営幹部に対してテキストのみのメールを手動で作成し、環境問題に関する疑惑についてコメントを求めるにとどめました。NetSPIが報告しています。
企業が回答するかどうかにかかわらず記事を掲載すると告げることで、攻撃者は強烈なプレッシャーをかけながら、同時に「真実を伝える」機会を幹部に与えました。
リンクを提供する前にコメントの意思を確認するというステップが、重要な信頼関係を構築し、送信者が自動スパムボットではなく実在の人間であることを証明しました。
深いOSINT調査、心理的プレッシャー、そしてAiTMフレームワークを組み合わせることで、攻撃者は最も警戒心の高い経営幹部でさえ欺くことができます。
技術的な防御が強化され続ける中、標的型幹部侵害に対する最後の砦として、継続的なセキュリティ意識向上トレーニングと厳格なコミュニケーションポリシーの整備が不可欠です。
翻訳元: https://cyberpress.org/fake-tips-target-executives/
