フィッシング攻撃はもはやメールの受信箱だけにとどまらず、現在、フィッシング攻撃の34%がソーシャルメディア、検索エンジン、メッセージングアプリなどの非メールチャネルで発生しています。
特にLinkedInはフィッシング攻撃の温床となっており、それには正当な理由があります。攻撃者は企業の幹部を標的にした高度なスピアフィッシング攻撃を展開しており、最近では金融サービスやテクノロジー分野の企業が標的となっています。
しかし、メール以外でのフィッシングは深刻に過小報告されています。これは、業界のフィッシング指標のほとんどがメールセキュリティツールから得られていることを考えれば、驚くことではありません。
「従業員がLinkedInでフィッシングされても関係ないのでは?」と思うかもしれません。しかし、LinkedInは個人用アプリでありながら、業務目的で日常的に利用され、企業デバイスからアクセスされており、攻撃者はMicrosoft EntraやGoogle Workspaceのようなビジネスアカウントを特に狙っています。
つまり、LinkedInフィッシングは企業が今日備えるべき重要な脅威です。攻撃者がなぜLinkedInでフィッシングを行うのか、そしてなぜそれが非常に効果的なのか、知っておくべき5つのポイントを紹介します。
1: 従来のセキュリティツールを回避できる
LinkedInのDMは、多くの組織がフィッシング対策として頼りにしているメールセキュリティツールを完全に回避します。実際、従業員は業務用ノートパソコンやスマートフォンでLinkedInにアクセスしますが、セキュリティチームはこれらの通信を監視できません。つまり、従業員は業務デバイス上で外部の人物からメッセージを受け取っても、メールのように検知・遮断されるリスクがありません。
さらに悪いことに、現代のフィッシングキットは難読化、解析回避、検知回避技術を駆使し、ウェブページの検査(ウェブクローリングセキュリティボットなど)やウェブトラフィックの解析(ウェブプロキシなど)によるアンチフィッシング対策をすり抜けます。そのため、多くの組織はユーザー教育や報告に頼らざるを得ず、これは理想的とは言えません。
しかし、ユーザーがLinkedInのフィッシングを発見し報告したとしても、実際にできることは限られています。どの他のアカウントが標的にされたか、または被害に遭ったかを把握できません。メールと異なり、同じメッセージが複数のユーザーに届いた場合でも、リコールや隔離はできません。変更できるルールも、ブロックできる送信者もありません。アカウントを報告し、悪意のあるアカウントが凍結されるかもしれませんが、その頃には攻撃者は必要な情報を得て次に移っている可能性が高いのです。
多くの組織は関与したURLをブロックするだけですが、攻撃者がフィッシングドメインを素早く切り替えている場合、1つのサイトをブロックしても、すでに複数の新しいサイトが登場しています。まるでモグラ叩きのようなもので、しかも勝ち目はありません。
2: 攻撃者にとって安価で簡単、かつスケーラブル
LinkedInを使ったフィッシングは、メールベースのフィッシング攻撃よりも手軽に始められる要素がいくつかあります。
メールの場合、攻撃者は事前にメールドメインを作成し、ドメインの信頼性を高めてメールフィルターを通過させるためのウォームアップ期間を設けるのが一般的です。ソーシャルメディアアプリ(LinkedInなど)での比較は、アカウント作成、コネクション追加、投稿やコンテンツの追加、見た目を本物らしく装うことです。
しかし、実際には正規アカウントを乗っ取るのは非常に簡単です。インフォスティーラーのログにある認証情報の60%がソーシャルメディアアカウントに紐づいていることが分かっており、多くはMFA(多要素認証)が設定されていません(「個人用」アプリでは企業からMFAを推奨されることが少ないため、MFAの普及率が低い)。これにより、攻撃者は既存のネットワークや信頼関係を利用して、信頼性の高いキャンペーンを展開できるのです。
正規アカウントの乗っ取りと、AIによるダイレクトメッセージ送信の組み合わせにより、攻撃者はLinkedInでの攻撃を容易に拡大できます。
3: 価値の高いターゲットに簡単にアクセスできる
営業担当者なら誰でも知っているように、LinkedInでの情報収集は非常に簡単です。組織のLinkedInプロフィールを調べ、アプローチすべき適切なターゲットを選定するのは容易です。
実際、LinkedInはレッドチームや攻撃者がソーシャルエンジニアリングのターゲットを選定する際の主要なツールとなっています。たとえば、職務や職務内容を確認して、攻撃に必要なアクセス権や権限を持つアカウントを見極めることができます。
LinkedInメッセージにはスクリーニングやフィルタリングもなく、スパム対策やアシスタントによる受信箱の監視もありません。狙った相手に最も直接的にリーチできる手段であり、非常に標的を絞ったスピアフィッシング攻撃を仕掛けるのに最適な場所の一つです。
4: ユーザーが騙されやすい
LinkedInのようなプロフェッショナルネットワーキングアプリの性質上、組織外の人とつながり、やり取りすることが前提となっています。実際、権限のある幹部ほど、また新たなスパムメールよりもLinkedInのDMを開封し、返信する可能性が高いのです。
特にアカウント乗っ取りと組み合わさると、既知の連絡先からのメッセージはさらに返信されやすくなります。これは、既存のビジネス連絡先のメールアカウントを乗っ取るのと同じであり、過去に多くのデータ漏洩の原因となってきました。
実際、最近の事例では、その連絡先が同僚であるケースもありました。つまり、攻撃者が自社のメールアカウントを乗っ取り、それを使って経営幹部にスピアフィッシングを仕掛けるのと同じことです。
適切な名目(例:緊急の承認依頼や書類の確認依頼)と組み合わせることで、成功率は大幅に高まります。
5: 得られる報酬が非常に大きい
これらの攻撃が「個人用」アプリ上で発生しているからといって、被害が限定的だとは限りません。より広い視野で考えることが重要です。
多くのフィッシング攻撃は、MicrosoftやGoogleなどの主要なエンタープライズクラウドプラットフォームや、Oktaのような専門のIDプロバイダーを狙っています。これらのアカウントを乗っ取れば、該当アプリ内のコアアプリやデータへのアクセスだけでなく、SSOを利用して従業員がログインしているあらゆる連携アプリへのアクセスも可能になります。
これにより、攻撃者は組織内のほぼすべての主要な業務機能やデータセットにアクセスできるようになります。また、ここからは内部アプリの他のユーザーを狙うのも簡単です。SlackやTeamsのようなビジネスメッセージングアプリを使ったり、SAMLjackingのような手法でアプリをウォータリングホール化し、他のユーザーのログインを狙うこともできます。
経営幹部へのスピアフィッシングと組み合わせれば、その成果は絶大です。1つのアカウントの侵害が、瞬く間に数百万ドル規模の全社的な情報漏洩に発展する可能性があります。
たとえ攻撃者が従業員の個人デバイスにしか到達できなかった場合でも、それが企業アカウント侵害に転用されることがあります。2023年のOkta侵害を見てください。攻撃者はOktaの従業員が業務デバイスで個人用Googleプロファイルにサインインしていた事実を悪用しました。
これにより、ブラウザに保存された認証情報がすべて個人デバイスと同期されてしまい、その中には134件の顧客テナント用認証情報も含まれていました。個人デバイスがハッキングされると、業務アカウントも同時に侵害されてしまったのです。
これはLinkedInだけの問題ではありません
現代の業務は分散型インターネットアプリのネットワーク上で行われ、メール以外の多様なコミュニケーションチャネルが存在するため、悪意あるコンテンツとの接触を防ぐのがこれまで以上に困難になっています。
攻撃者はインスタントメッセンジャーアプリ、ソーシャルメディア、SMS、悪意のある広告、アプリ内メッセンジャー機能などを通じてリンクを配信できるほか、SaaSサービスから直接メールを送信してメールベースのチェックを回避することもできます。
同様に、今や1社あたり数百ものアプリが標的となり、それぞれアカウントセキュリティの設定レベルも異なります。
フィッシングを発生源で止める:ブラウザでの対策
フィッシングは受信箱の外に移りました——セキュリティも同様に進化する必要があります。
現代のフィッシング攻撃に対処するには、すべてのアプリと配信経路にわたってフィッシングを検知・ブロックできるソリューションが必要です。
Push Securityはユーザーが見ているものを可視化します。配信チャネルや検知回避手法が何であっても、Pushはユーザーが悪意のあるページをウェブブラウザで読み込んだ瞬間に、リアルタイムでページコード、挙動、ユーザー操作を解析し、攻撃を遮断します。
Pushの機能はこれだけではありません。AiTMフィッシング、クレデンシャルスタッフィング、悪意のあるブラウザ拡張機能、悪意のあるOAuth認可、ClickFix、セッションハイジャックなど、ブラウザベースの攻撃もブロックします。
さらにPushを使えば、従業員が利用するアプリ全体でゴーストログイン、SSO未対応、MFA未設定、脆弱なパスワードなどの脆弱性を事前に発見・修正できます。
従業員が業務用ブラウザで個人アカウントにログインした履歴も確認できるため(先述の2023年Okta侵害のような事態を未然に防げます)。
Pushの詳細については、最新の製品概要をご覧いただくか、弊社スタッフによるライブデモをご予約ください。
スポンサー:Push Securityによる寄稿記事
翻訳元: https://www.bleepingcomputer.com/news/security/5-reasons-why-attackers-are-phishing-over-linkedin/
