ハッカーは、洗練された新技術の助けを借りて、古くからの人間の行動を悪用し、企業のITシステムへの侵入をますます成功させています。
脅威アクターは、ディープフェイク動画やAIによる音声クローンなどのツールを使い、企業幹部や政府関係者、その他著名人を標的としたなりすまし、恐喝、主要産業への大規模な攻撃を、より個別化して展開しています。
ソーシャルエンジニアリングは、2024年5月から2025年5月までのインシデント対応事例で最も多く使われた侵入経路だったと、Palo Alto Networksは7月に発表したレポートで述べています。
Palo Alto Networksが調査した期間中、攻撃者は36%のインシデントでソーシャルエンジニアリングを使ってシステムに侵入しました。そのうち3分の2のケースで、ハッカーは特権アカウントまたは幹部アカウントを標的にしていました。
「幹部は、機密情報やビジネスに不可欠なシステムへの広範な権限を持っているため、企業の王国の鍵を握っています」と、Palo Alto NetworksのUnit 42チーム シニアバイスプレジデントのSam Rubin氏は述べています。「最大限の被害と恐喝利益を狙う攻撃者は、幹部が魅力的な標的であることを知っています。」
ソーシャルエンジニアリング攻撃の半数以上で、ハッカーは機密データにアクセスでき、さらに増加傾向にあるケースでは、攻撃が重要なビジネス機能を妨害したり、企業の業務パフォーマンスに一定の影響を与えたりしています。
なりすましがセーフガードを回避
脅威グループは、音声クローンやディープフェイク、その他AI技術を使って、幹部クラスのなりすましをますます行うようになっています。
一部のケースでは、ハッカーが幹部を直接標的にして恐喝したり、音声をクローンしてなりすましに利用したりしています。攻撃者が幹部の音声をクローンし、メール連絡先にアクセスしたり写真をコピーしたりすると、ヘルプデスクに偽の認証情報リセット要求を出したり、下位従業員に詐欺的な指示を送ったりできます。
「AI時代において、幹部の音声や映像のなりすましは現実的なリスクとなっています」と、GoogleのThreat Intelligence Group主席インテリジェンスアナリストのScott McCollum氏はCybersecurity Diveに語っています。「疑いを持たない人が幹部からデータやアクセスを求める電話やメッセージを受け取ると、企業のセキュリティに実際のリスクが生じます。」
ハッカーはここ数か月、さまざまな業界に対して高度な攻撃をソーシャルエンジニアリングで実施しており、小売、航空、保険業界の企業も含まれています。
今年最も注目された攻撃の一つでは、英国の小売業者Co-opが攻撃を受け、2億7500万ドル(2億600万ポンド)の売上損失が発生しました。
Co-opのグループ最高デジタル・情報責任者Rob Elsey氏は、下院小委員会で、ハッカーが従業員になりすまし、いくつかのセキュリティ質問に答えることで、アカウントの認証情報をリセットし、ネットワークに侵入したと証言しました。
「その活動は、アカウントが悪用され始める約1時間前に発生しました」とElsey氏はビジネス・貿易小委員会で7月の公聴会で述べました。
他の多くの組織と同様に、Co-opも模擬攻撃やレッドチーム演習を通じてこうした事態に備えていました。しかし、サイバー犯罪集団Scattered Spiderが数か月にわたるハッキング活動で実施した多くの攻撃と同様、実際のインシデントのプレッシャーにより、ハッカーは企業がこうした攻撃を防止・軽減するために頼っていた多くの対策を回避することができました。
Co-opへの攻撃は、Scattered Spiderに再び注目を集めました。同グループは若い英語話者のハッカーで構成され、The Comと呼ばれる緩やかな地下ネットワークで様々な協力者と連携しています。
8月には、Workdayがソーシャルエンジニアリング攻撃を受けたことを認めました。ハッカーはITや人事担当者になりすまし、従業員を騙してアカウントのパスワードをリセットさせ、サードパーティの顧客管理プラットフォームから情報を取得しました。
進化する手口
サイバーセキュリティやインシデント対応の専門家によれば、ソーシャルエンジニアリングの手口は近年進化しています。脅威アクターは従来、メール添付ファイルに仕込んだマルウェアをダウンロードさせる手法に注力していましたが、多要素認証などのセキュリティ対策の普及により、より創造的かつ個人的な初期侵入手法を取るようになっています。
Proofpointの研究者によれば、この変化の大きな要因は、MicrosoftがOffice製品でXL4およびVBAマクロを無効化したことにあります。これらはハッカーに頻繁に悪用されていました。
「これに対応して、脅威アクターは圧縮実行ファイルや代替ファイル形式、より複雑な攻撃チェーンへと切り替えました」と、Proofpointの脅威リサーチャーでインテリジェンス分析・戦略リードのSelena Larson氏はCybersecurity Diveに語っています。
2024年以降、脅威グループは新たな初期侵入手法に移行しており、広く使われているClickFix技術による認証情報窃取や金融詐欺の実行が挙げられます。
高価値ターゲット
6月、Ponemon InstituteとBlackCloakがレポートを発表し、企業幹部や高所得者層へのソーシャルエンジニアリング攻撃が増加しており、回答者の約4割がディープフェイクなりすまし攻撃を報告したことが示されました。
「最も一般的な攻撃は、信頼できる存在になりすまして支払いや情報を要求するものであり、多くの幹部はデジタル攻撃が物理的な危害にまで発展することを懸念しています」と、BlackCloakのセキュリティ運用責任者Brian Hill氏はCybersecurity Diveに語っています。
Hill氏によれば、ハッカーは家族やその他の個人的な関係者を標的にするなど、ソーシャルエンジニアリング攻撃はますます侵入的になっています。
企業や幹部は、将来の攻撃からシステムをよりよく守り、個人の安全を高めるために、いくつかの対策を講じることができます。
その対策には以下が含まれます:
- 旅行を含む個人的な活動についてのSNS投稿を制限する。
- 家族に関する情報を一般に公開しない。
- フィッシング耐性のある多要素認証を使用する。
- パスワード変更、MFAリセット、銀行情報の変更にはアウトオブバンド方式を利用する。
「幹部は、自身や家族、会社についてオンラインで簡単に集約できる情報に基づいて、標的にされるリスクがますます高まっています」と、Google Threat Intelligence GroupのカスタムインテリジェンスマネージャーSam Lewis氏はCybersecurity Diveに語っています。
翻訳元: https://www.cybersecuritydive.com/news/social-engineering-preferred-initial-access/803363/
