出典: hyejin kang / Alamy Stock Photo
シスコは今週、先月データ侵害が発生し、一部のユーザーデータが漏洩したことを公表しました。
このネットワーク大手は、自社ウェブサイトに公開したイベント開示ページを通じてこの事件を明らかにしました。投稿によると、7月24日に身元不明の悪意ある人物が、シスコの担当者を音声フィッシング(ビッシング)攻撃の標的とし、攻撃者は「シスコが利用するサードパーティ製クラウド型顧客関係管理(CRM)システムの1インスタンスから、基本的なプロフィール情報の一部にアクセスし、エクスポートすることができた」としています。
音声フィッシング攻撃では、脅威アクターが自分の声(または大規模言語モデルなどで生成した合成音声)を使い、標的をだまして個人情報を引き出そうとします。状況によっては、偽のCEOからのギフトカードを求める留守番電話、IT担当者を装った人物からVPN認証情報やリモートアクセスを求める電話、その他攻撃者が標的の信頼を悪用するためになりすます必要がある人物などが含まれます。
シスコはビッシング攻撃の詳細については明らかにしていません。
攻撃の概要
シスコは開示情報の中で、事件を認識した時点で攻撃者のCRMシステムインスタンスを停止し、調査を開始したと述べています。調査の結果、脅威アクターは「Cisco.comでユーザーアカウントを登録した個人の基本的なアカウントプロフィール情報(氏名、組織名、住所、シスコが割り当てたユーザーID、メールアドレス、電話番号、アカウント関連のメタデータ—作成日など)」をエクスポートしていたことが判明しました。
ベンダーによると、脅威アクターは機密性の高い顧客情報や専有情報、パスワード、または「その他の種類の機密情報」を取得していません。
「シスコは自社の製品やサービスへの影響を特定しておらず、他のシスコCRMインスタンスも影響を受けていません」と同社は述べています。
インシデント対応の一環として、シスコはデータ保護当局と連携し、法令に基づき影響を受けたユーザーに通知しました。また、「本件によりご不便やご心配をおかけしたことをお詫び申し上げます」と謝罪しています。
「すべてのサイバーセキュリティインシデントは、学び、レジリエンスを強化し、より広いセキュリティコミュニティを支援する機会です」と開示文には記載されています。「今後同様のインシデントが発生するリスクを軽減するため、さらなるセキュリティ対策を実施するとともに、従業員に対してビッシング攻撃の識別と防御方法について再教育を行っています。」
Dark Readingは、脅威アクターの身元や侵害の影響を受けたユーザー数についてシスコに問い合わせました。シスコはどちらの質問にも直接回答しませんでしたが、広報担当者が声明を共有しました。
「シスコは、悪意ある人物が音声フィッシング攻撃を利用し、シスコが利用するサードパーティ製クラウド型顧客関係管理(CRM)システムの1インスタンスから基本的なプロフィール情報にアクセスし、エクスポートしたというインシデントを認識しました」と声明は述べています。「当社の調査により、関与したデータは主にCisco.comでユーザーアカウントを登録した個人の基本的なアカウントプロフィール情報であることが判明しています。パスワード、機密データ、その他の顧客の機密情報にはアクセスされていません。」
ビッシング攻撃から身を守るには
ビッシングは何年も前から使われている脅威アクターの手口ですが、自分は安全だ、あるいは攻撃者が来ても見抜けると思っている場合は注意が必要です。脅威アクターのツールキットに生成AIが加わったことで、ソーシャルエンジニアリング攻撃はこれまで以上に巧妙になっています。
AIを使えば、攻撃者は経営幹部のような声を合成したり、信じ込ませるメールを作成したりできます。しかし、スピアフィッシングが以前より高度になっているとはいえ、適切なセキュリティ習慣を身につけることは非常に効果的です。
不審なメールを受け取った場合は、送信元を確認するか、適切な部署に転送しましょう。機密情報を求めるボイスメモや電話を受けた場合は、別の連絡手段(可能であれば対面)でその正当性を確認してください。従業員が新たなソーシャルエンジニアリング手口に慣れるためのユーザー教育や、必要に応じて物理的なFIDOキーなどフィッシング耐性のある認証の導入も検討しましょう。