セキュリティ研究者は、「ミッシング(mishing)」として知られるモバイルフィッシング攻撃の急増を確認しており、2024年8月には1日あたりの攻撃記録が1000件超でピークに達しました。
Zimperium zLabsが公開したレポートでは、モバイルフィッシングの全インシデントのうち16%が米国で発生したことも明らかになりました。
モバイルフィッシング:独自の脅威
ミッシング攻撃は、小さな画面、タッチ操作のナビゲーション、SMSやメッセージングプラットフォームといったモバイル特有の機能を悪用し、ユーザーをだまして機密情報を入力させます。
脅威アクターは、短縮URL、QRコードを用いたフィッシング (クイッシング)に加え、検知や分析をより困難にする端末固有のリダイレクトなどの手口をしばしば用います。特に、位置情報を狙ったキャンペーンにより、地域や組織に対する精密な攻撃が可能となり、防御をさらに複雑化させています。
Keeper Securityのセキュリティ&アーキテクチャ担当バイスプレジデントであるPatrick Tiquet氏は、「攻撃者は、従来のメールセキュリティ制御を回避するために、SMS、QRコード、モバイル最適化されたフィッシングサイトといったモバイルファーストのコミュニケーションチャネルをますます悪用している」と述べました。
「悪意あるコンテンツがモバイルユーザーにのみ配信される、端末認識型のフィッシングキャンペーンの増加により、検知はさらに難しくなっています。」
主な調査結果では、ミッシングへの脆弱性はインドが37%で首位、次いで米国(16%)、ブラジル(9%)となっています。
攻撃者はまた、Telegramのボットのようなモバイル特有のメッセージングチャネルを悪用して、悪意あるリンクやアプリを配布します。これらはワンタイムパスワード(OTP)やその他の機密データを傍受でき、個人アカウントと企業アカウントの双方を危険にさらします。
新たに台頭するモバイル脅威ベクトル
同レポートは、主要なモバイルフィッシング攻撃タイプを4つ特定しています:
- スミッシング:SMSベースの攻撃
- クイッシング:QRコード詐欺
- ビッシング:音声ベースのフィッシング
- モバイルを標的としたメールフィッシング
HoxhuntのCEOであるMika Aalto氏は、「モバイル脅威はもはや周辺的な問題ではない」と述べました。
「リモートワークとクラウドサービスへの大規模な移行以降、電話端末からアクセス可能な機密データが増えたことで、攻撃者はモバイルを企業資産への直接のゲートウェイと見なしています。」
モバイルフィッシングキャンペーンの進化とサイバーセキュリティへの影響について詳しく読む:フィッシングサイトの82%が現在モバイル端末を標的に
モバイル特化のセキュリティを求める声
セキュリティ専門家によれば、モバイルファースト攻撃の急増は、包括的なモバイルセキュリティ対策の必要性を浮き彫りにしています。
SlashNextのフィールドCTOであるJ. Stephen Kowski氏は、「フィッシングは洗練されたマルチチャネルの脅威へと進化しており、フィッシングサイトの82%が現在、モバイル端末を明確に標的にしている」と述べました。
Kowski氏はさらに、これらの端末固有の制約の中で運用しつつ、メール、SMS、QRコードなどのモバイル通信チャネルを保護する重要性を強調しました。
また組織には、フィッシング耐性のある多要素認証(MFA)、リアルタイムのURL分析、ユーザートレーニングプログラムなど、モバイル特化のセキュリティ戦略を採用することが推奨されています。
HoxhuntのCTOであるPyry Åvist氏は、「こうした弱いエンドポイントを狙うサイバー犯罪者に先んじるには、モバイルでの行動に対処する継続的な意識向上トレーニングが不可欠だ」と付け加えました。
ミッシング攻撃が増え続ける中、モバイル環境を積極的に保護する企業は、リスク露出を大幅に低減できるでしょう。
翻訳元: https://www.infosecurity-magazine.com/news/mobile-phishing-attacks-surge-16/
