モバイルフィッシング詐欺の急増に企業は過信気味

モバイルフィッシング詐欺はますます深刻な脅威となっていますが、企業はその脅威を十分に重く見ていないと、モバイルセキュリティ企業Lookoutは木曜日に発表したレポートで述べています。

約6割の企業が「テキストや音声による幹部なりすまし詐欺によるインシデントを経験しており」、過去6か月間に少なくとも1回はそのような攻撃を受けた企業は77%にのぼると、Lookoutはレポートで述べています。しかし、これらの攻撃が蔓延しているにもかかわらず、「脅威について非常に懸念している」と答えたのは回答者の半数にとどまったことがレポートで明らかになりました。

この調査結果は、700人以上のセキュリティリーダーを対象とした調査に基づいており、「企業が過信し、実際には現代の脅威に対してより脆弱であるという危険な状況」を反映しているとLookoutは述べています。

ハッカーは、モバイルの音声やテキストによるフィッシングメッセージを使って従業員をだまし、パスワードを入手して、セキュリティ監視プラットフォームで警告が上がりにくい正規アカウントを通じてコンピュータネットワークへのアクセスを得る手口をますます多用しています。

5月にはFBIが、ハッカーが米国政府関係者になりすましていると警告しました。これにはAI生成の音声クローン技術も含まれています。研究者によると、なりすまし攻撃は企業幹部にとってもリスクがあり、信頼関係を悪用することで同僚や家族へのアクセスを得る可能性があります。

ここ数か月で重要インフラ分野への攻撃を強化している悪名高いサイバー犯罪グループ「Scattered Spider」は、なりすまし詐欺やその他のソーシャルエンジニアリング手法を多用し、ヘルプデスク担当者をだましてパスワードをリセットさせ、企業ネットワークへのアクセスを得ています。

「従来のセキュリティソリューションではこれらの攻撃を可視化できないため」とLookoutは述べ、「こうした巧妙な試みのほとんどは手遅れになるまで気づかれず、防御が非常に困難になっています。」

Lookoutの調査では、回答者の約半数が自社ネットワークへのソーシャルエンジニアリングの試みに「一貫した可視性がない」と認めており、同社はこれを「非常に一般的な攻撃手法に対する備えの欠如」と警鐘を鳴らしています。

さらに矛盾しているのは、Lookoutの調査でセキュリティリーダーの96%が自社従業員がフィッシング攻撃を見抜けると自信を持っている一方で、「半数以上が従業員がテキストメッセージによる幹部なりすまし詐欺の被害に遭った」と報告している点です。

Lookoutは、今回の調査結果が「企業がサイバーセキュリティ戦略を再評価し、単なる自信にとどまらず、リアルタイムの可視性と積極的な保護を提供する強固なソリューションを導入する必要性」を強調していると述べています。

高度なセキュリティソフトウェアは解決策の一部に過ぎないとLookoutは述べています。企業は「モバイル中心の脅威に特化した継続的なセキュリティ意識向上トレーニング」を実施し、「警戒心と気軽に報告できる文化」を築く必要があるとしています。