過去1年間でブラウザベースのフィッシング攻撃が急増し、752,000件のインシデントが確認された。これは2023年から2024年にかけて前年比(YoY)140%増を示している。人工知能(AI)主導のフィッシング手法の台頭や、エンタープライズブラウザの悪用がこの傾向に寄与している。
Menlo Securityの新しいレポートによると、サイバー犯罪者は主要な攻撃ベクターとしてブラウザにますます注力しており、高度な回避手法、ソーシャルエンジニアリング、ゼロデイ脆弱性を活用して従来のセキュリティ対策を回避している。
レポートは、過去12か月で17万件を超えるゼロアワーのフィッシング攻撃を特定しており、2023年から130%増を反映している。さらに、5件に1件の攻撃が回避手法を用いてセキュリティ制御をすり抜けていた。
「悪意ある攻撃者は検知を回避する新たな手法を素早く開発し、[…] ブラウザベースのフィッシング攻撃の数を増加させている」と、Black Duckのプリンシパル・コンサルタントであるThomas Richardsは述べた。
またレポートは、認証情報(クレデンシャル)を狙うフィッシングキャンペーンの急増も強調しており、信頼されたエンタープライズアプリケーションを装ったり、欺瞞的なブランド表示を用いて被害者を誘い、機密情報を提供させるケースが多い。
「フィッシャーは GenAIへの高い世間の関心を悪用し 、人気のAIプラットフォームを模倣して、ユーザーの好奇心と最先端技術への信頼に付け込んでいる」と、SectigoのシニアフェローであるJason Sorokoは説明した。
レポートは、これらの攻撃に関連するいくつかの注目すべき傾向を示している:
- ブラウザベースのフィッシング攻撃の51%でブランドなりすましが使用された
- 約600件のフィッシングインシデントで、ユーザーを欺くためにGenAIの名称が使用された
- ChromeやEdgeなどの人気ブラウザの脆弱性を狙うゼロデイの悪用
- フィッシングにCloudflareのサービスを悪用する事例が2024年に104%増加
- フィッシング・アズ・ア・サービス(PhaaS)の採用により、大規模攻撃が容易化
ブラウザベース攻撃への防御
「新しい手法と再発明された手法の双方を活用する、より高速で高度な攻撃により、脅威環境は今後も大幅に激化し続ける」と、SlashNextのフィールドCTOであるStephen Kowskiは述べた。「攻撃者は信頼されたプラットフォームの悪用を続け、GenAIを用いて、前例のない規模でより説得力のあるフィッシングキャンペーンを作り出していくだろう。」
企業がAI駆動のサイバー脅威にどう対抗できるかについて詳しく読む:英国、ロシアのサイバー脅威に対抗するAIセキュリティラボを立ち上げ
サイバーセキュリティへの投資が増加しているにもかかわらず、ファイアウォールやセキュアWebゲートウェイといった従来型の防御は、進化するこれらの脅威に対して不十分であることが明らかになっている。攻撃者は手法を洗練させ、ファイルレスマルウェアやメモリのみのペイロードなど、検知を回避する回避技術を展開している。
「組織は、包括的なセキュリティソリューションに投資する代わりに、基本的なセキュリティツールや既定のメール保護に依存することで、リスクの高いトレードオフを行っている」とKowskiは付け加えた。
これらの脅威に対抗するため、組織はプロアクティブなセキュリティ対策を採用しなければならない。
セキュアなクラウドブラウジングソリューションは、ユーザーの活動をエンタープライズネットワークから分離し、悪意あるコンテンツがシステムを侵害するのを防ぐことができる。一方で、AI強化型の脅威検知ツールは、被害が発生する前に高度なフィッシングキャンペーンを特定し、無力化するのに役立つ。
「組織は、ユーザーが侵害される前にフィッシングを検知してブロックするため、リアルタイムのAI駆動モバイルセキュリティを採用しなければならない」と、Zimperiumのプロダクト戦略担当バイスプレジデントであるKrishna Vishnubhotlaは述べた。「時代遅れの防御に頼るだけではもはや不十分だ。セキュリティは脅威と同じ速さで進化しなければならない。」
翻訳元: https://www.infosecurity-magazine.com/news/752000-browser-phishing-attacks/
