ソーシャルエンジニアリングとは、攻撃者が専門家を騙して組織の中核データやシステムへのアクセスを得るために用いる手法の総称であり、その手口は拡大し続けています。現在、ソーシャルエンジニアリングは世界的に最も多い侵入経路となっており、金銭目的や国家支援を受けた様々な脅威グループを引きつけています。
Palo Alto NetworksのUnit 42が昨年対応したインシデント対応事例のうち、3分の1以上(36%)がソーシャルエンジニアリングの手口から始まっていたと、同社は今週グローバルインシデント対応レポートで発表しました。
さまざまな動機や出自を持つ脅威グループが、ソーシャルエンジニアリングの増加を後押ししています。Scattered Spiderのようなサイバー犯罪集団や、北朝鮮の技術専門家など、世界有数の企業の従業員として潜入している国家の工作員も、ITインフラや機密データへの主な侵入口としてソーシャルエンジニアリングを採用しています。
Unit 42がMuddled Libraとして追跡している脅威グループScattered Spiderは、2022年以降100社以上、今年だけでも十数社に侵入し、被害者に身代金を要求してきました。「私たちは彼らと常に対峙しています。まるで次から次へと事件が起きているように感じます」と、Unit 42の最高技術責任者兼エンジニアリング担当副社長のMichael Sikorski氏はCyberScoopに語りました。
Scattered Spiderや大規模な北朝鮮の技術者スキームに関連する攻撃や侵入は、昨年Unit 42が対応したインシデント対応事例の中で高い割合を占めており、両者の攻撃件数はほぼ同数だったとSikorski氏は述べています。
北朝鮮国籍の人々は、数百社のフォーチュン500企業に就職し、その給料を平壌に送金しています。
北朝鮮の内部脅威は国家に関連していますが、金銭目的のソーシャルエンジニアリング攻撃でもあると彼は述べています。このような複合的な属性や目的は、地政学的な動機と金銭的な動機の境界が曖昧になってきていることを浮き彫りにしています。
他の国家支援型脅威グループもソーシャルエンジニアリングを利用していますが、Unit 42のレポートによると、昨年のソーシャルエンジニアリング攻撃の93%は金銭的利益が主な動機でした。
ソーシャルエンジニアリング攻撃は、データを危険にさらす可能性が最も高い攻撃でもあります。これらの攻撃はUnit 42のインシデント対応事例の60%でデータ漏洩を引き起こしており、他の初期アクセス手法よりも16ポイント高い割合となっています。
攻撃者は自分たちが求めるデータへのアクセスに集中しており、そのためヘルプデスクスタッフや管理者、システム全体へのアクセス権を持つ従業員が主要な標的となることが多いです。「彼らは攻撃者が望むすべての権限、つまりクラウド環境やデータ、他人の多要素認証をリセットして新しい電話を登録する能力などを持っていることが多いのです」とSikorski氏は述べています。
Scattered Spiderは、これら特定の個人に対して「ハイタッチなソーシャルエンジニアリング攻撃」を継続的に行っていると彼は述べています。
Unit 42の年次調査には、過去1年間(5月まで)にインシデント対応会社が対応した700件以上の攻撃データが含まれており、小規模組織からフォーチュン500企業まで幅広く対象としています。攻撃の約4分の3は北米の組織を標的にしていました。
翻訳元: https://cyberscoop.com/social-engineering-top-attack-vector-unit-42/