TokyoBlackHatNews

databreachtoday.com 4分で読了

なりすまし詐欺:リモートワークを狙う新たな犯罪の波

デジタル・アイデンティティ

Identity Fraud: The New Crimewave Targeting Remote Work

リモートワークは、効率性、多様性、そして世界中の人材へのアクセス拡大を約束しました。しかし同時に、サイバー犯罪者、国家支援の工作員、詐欺グループが悪用することを学んだ「裏口」も開いてしまいました。その結果、攻撃者がネットワークに侵入するのではなく、他人の顔をかぶって正面玄関から入ってくるという、新しい種類の犯罪の波が生まれています。

リモート採用に結び付いたアイデンティティベースの攻撃は、周縁的な異常事例から、企業全体を脅かす本格的な脅威へと急増しています。

リモートアクセスの上に築かれた詐欺経済

今日の世界の労働力の38%以上は、請負業者、ベンダー、外部ワーカーで構成されています。この変化により、企業が保護すべき信頼の境界(トラスト・ペリメータ)が拡大します。これにリモート採用と一貫性のないオンボーディング慣行が重なると、リスクは倍増します。

組織のほぼ半数が第三者アクセスに関わる侵害を経験しており、データ侵害インシデントは2024年に世界平均で488万ドルの損失をもたらしました

ディープフェイク詐欺の試行は2023年に3,000%急増し、数カ月ごとに倍増しました。企業は2024年、ディープフェイク関連インシデント1件あたり平均で約50万ドル近い損失を被りました。

敵対者は、組織が検証できる速度を上回ってアイデンティティを作り出しています。

詐欺の新しい顔の内側:実例と実害

現実世界での新たな事例は、無視できません。

  • 不正スキームが、米国市民・居住者を装う北朝鮮のIT労働者を支援し、盗まれた身元情報を使って米国の300社超に侵入させ、1,700万ドル超を海外へ送金しました。
  • ロシアの脅威アクターは、脆弱な本人確認プロセスを通じて米国の防衛関連請負業者を侵害しました
  • Marks & Spencerのサプライチェーン・インシデントは、外部ワーカーのアクセスにおける脆弱性が、攻撃者によるログイン認証情報の窃取と、M&Sのシステム内での水平展開を助けたことを浮き彫りにしました
  • 2023年、攻撃者はMGM Resortsの従業員になりすまし、ヘルプデスクをだまして認証情報をリセットさせました。これにより不正アクセスが可能となり、広範な障害を引き起こし、大きな収益損失につながり、顧客データが露出しました。

採用担当マネージャーは、こうした手口を直接体験しています。全国調査では、マネージャーの17%が、ディープフェイク技術を使ってビデオ面接の映像を改変する候補者に遭遇し、Gartnerは2028年までに、世界の求職者の4人に1人が偽物になると予測しています

手口は進化し続けています:

  • 応募者の代わりに替え玉が出席する代理面接;
  • 評価中の画面外コーチング;
  • 合成された人格を模倣するリアルタイム・ディープフェイク。

これはもはやフィッシングの問題ではありません。アイデンティティの完全性(インテグリティ)の問題です。

本人確認(Identity Proofing)は迅速に進化しなければならない理由

パスワード、静的なID、手作業の書類チェックでは、一般向けハードウェアと入手容易なAIツールで説得力のある合成アイデンティティを捏造できる敵対者に対抗できません。

組織は、認証情報ベースの信頼から、アイデンティティベースの信頼へと移行しなければなりません。

高保証の本人確認には、いまや次が必要です:

  • 政府発行の身分証明書に対して実在の人物であることを検証すること;
  • ディープフェイクやなりすましを見抜くための生体「ライブネス」検知;
  • 面接とアクセスの各イベントを通じて同一人物が一貫して現れていることの確認;
  • 不審な活動が発生した際の迅速な再検証。

MajorKeyとauthIDが開発し、Microsoft Entra Verified IDと統合されたIDProof+のようなソリューションは、この脅威環境に合わせて設計されています。サブ秒の生体認証、ディープフェイク耐性、グローバルな書類対応を提供します。これらのシステムが加えるのは複雑さではなく、確実性です。

厳然たる真実:信頼はもはや前提にできない

リモートワークは定着し、合成アイデンティティ、国家による侵入の試み、組織的な詐欺活動も同様に残ります。攻撃者が手法を工業化するにつれ、組織も同じ緊急性で対抗しなければなりません。

中核の脅威は、もはや無許可のアクセスではありません。誤った人物に付与される「許可されたアクセス」です。

そのギャップを埋める唯一の方法が、高保証の本人確認です。

アイデンティティ・セキュリティの未来を自分の目で確かめる

これらの攻撃がどのように起き、高保証の本人確認がどのように防ぐのかを理解するために、IDProof+パーソナライズされたデモを予約してください。MajorKeyのプロダクトチームが、実際の事例、新たな脅威パターン、そして最新の本人確認がリモート採用とアクセスのワークフローに信頼を取り戻す方法をご案内します。

あなたのワークフォースには確実性が必要です。私たちは、その構築をお手伝いできます!

翻訳元: https://www.databreachtoday.com/blogs/identity-fraud-new-crimewave-targeting-remote-work-p-4030

ソース: databreachtoday.com
#ゼロトラスト #ディープフェイク #デジタルアイデンティティ #なりすまし #リモートワーク #国家支援型サイバー攻撃 #採用・オンボーディング #本人確認(IDプローフィング) #生体認証(ライブネス検知) #第三者アクセス(サプライチェーン)

関連記事

Microsoftがランタイムセキュリティを強化

Google、防衛産業に対する「容赦ない」サイバー攻撃について警告

請求サービス企業が医療検査機関の患者にハッキング被害を通知