HR職員は、これらの見慣れないファイルがコマンドを実行し、開くべきではないことを理解する必要があります。
脅威アクターは、人事スタッフにマルウェアに感染したフィッシングメールを開くよう騙すことに成功し続けています。
最新の例はAryakaの研究者によって詳細に説明されており、同社は今週、HR部門に悪意あるISOファイルを含む履歴書を配布している正体不明の脅威アクターによるキャンペーンについて説明しました。これは採用チャネルを通じて配信され、従業員またはメールゲートウェイのフィルタが信頼できるクラウドインフラストラクチャと見なすようなホスト上でホストされています。
被害者がDVDなどの光学ディスクのアーカイブであるISOをマウントし、その内容を開くと、悪意あるショートカット(.lnk)が実行され、ステガノグラフィー画像に埋め込まれた隠されたペイロードを抽出する難読化されたPowerShellコマンドが起動します。その後、悪意あるDLLが正規に署名されたアプリケーションを使用してサイドロードされ、攻撃者のコードが信頼できるソフトウェアの偽装下で実行されます。目的は、感染したコンピュータからデータを抽出することです。
Aryakaによると、このマルウェアの最も警戒すべき機能は、BlackSantaというエンドポイント検出応答(EDR)エージェントをシャットダウンする内部モジュールです。これは正規だが悪用可能なカーネルドライバをロードするサイバー攻撃テクニック(BYOVD:独自の脆弱なドライバを持参)を展開し、低レベルのシステムアクセスを獲得してから、セキュリティツールを体系的にオフにします。
これは洗練された攻撃ですが、CSOが検討すべきより重要なことは、HR従業員のセキュリティ意識トレーニングを通じてフィッシング詐欺を見つけるのを支援することで、攻撃を最初から防ぐことです。
そのトレーニングの優先事項の中で:.isoで終わるファイルはマルウェアを実行できることを強調することです。履歴書またはジョブアプリケーションファイルは、.docx、.pdf、または.txtで終わるべきです。
「あなたのHRチームは、最も訓練を受けた保護されたEmployee中の一つであるべきです」とセキュリティ意識トレーニングプロバイダーKnowBe4のCISO顧問であるRoger Grimesは述べています。「HR部門はあらゆる種類の詐欺師の強い標的です。彼らはマルウェアをインストールさせるか認証情報を盗もうとしていないのであれば、採用プロセスに偽の従業員を取得しようとしています。」
実際、彼は付け加えて、HR チームを通過する詐欺は、他の部門に移動するにつれてより信頼性が高いと見なされるかもしれません。
HR職員は、.pdfまたは.docxなどの通常の履歴書提出ドキュメント形式のみを受け入れるように訓練される必要があり、必要でない限り内部のURLをクリックしないようにすべきとGrimesは述べています。
一部の組織は、偽の履歴書からマルウェアが送信されるリスクを低減するために、すべての提出がHR採用ポータルに進むよう要求することで、提供されたWebフォームへのテキスト入力のみを受け付けています。彼は付け加えました。
少なくとも、すべてのHRスタッフメンバーは、彼らが詐欺を受け取る高いリスクにあることを理解する必要があります。彼は述べています。彼らはHR部門を標的とした一般的な詐欺について教育される必要があり、高リスク行動を実行する場合はコーチを受け、HR従業員を一般的に標的とするフィッシングを模倣したシミュレートされたフィッシングテストを受ける必要があります。
マルウェアだけではない
偽のジョブアプリケーションはマルウェアを伴うだけではありません。多くのジョブがオンラインインタビューを採用することで埋められている時代に、彼らは国家がまたはそのような防衛またはいくつかの政府請負業者などの機密組織に浸透する方法です。先月、ウクライナの男性はアメリカ人の身元を盗むため、その後は米国の企業で詐欺的に働くために北朝鮮人によって使用された米国裁判官により60ヶ月の懲役を言い渡されました。
2025年、Amazonは17ヶ月間で北朝鮮のエージェントから来たと思われる1,800件以上のジョブアプリケーションをブロックしたと述べました。
HRになりすましたおとり
Cofenseの研究者によると、ほとんどのHR関連のフィッシングメッセージは年の後半で送信されていますが、特定のメッセージテーマは現在のイベントに基づいて変わります(例えば:「COVIDのため、収益が減少したため、スタッフを削減する必要があります」)。定期的に機能するテーマ:終了メッセージ。従業員は終了件名を含むメールを無視しませんし、メッセージは正当に見える可能性があります、特に彼らが会社のメールアドレスを偽造する場合。
その他の一般的なテーマ、Confenseは述べており、補償調整、会社の利益または利益に登録する能力、ハンドブックおよびポリシー更新、従業員評価およびアンケート、および所得税情報の通知が含まれます。
[関連コンテンツ:フィッシャーは皆がHRを恐れていることを理解した]
「HRになりすますことは脅威アクターに多くの利点を提供します」とCofenseレポートは述べています。「HRからのタスクは通常は必須なので、HRメールは権限を持ってきます。正規のHRタスクは厳しい期限があることもあり、脅威アクターは緊急性を課すために使用できます。最後に、定期的なHRタスクは従業員によって期待されます。適切な時間に送信されると、従業員はメールをフィッシングとして認識せず、HRの問題を解決するためにあらゆるリンクをクリックすることができます。」
AIが検出をより難しくする
カナダのコンサルティング会社Cybercrime Analyticsの責任者であり、ソーシャルエンジニアリングに関する本の著者であるChristopher Kayserは、生成AI技術のおかげで、悪意のあるコミュニケーションを認識することがますます難しくなっていると述べています。また、何年も前からHRスタッフの仕事は位置への広告への応答を受け取ることが、彼らは質問なしにドキュメントを開く傾向があります。その上に、多くの従業員はITがデバイスに届く通信を確認して安全であることを確認するためにすべてを行っていることを信頼しています。
彼の一方で、悪い俳優はあらゆるタイプのフィッシングキャンペーンの一般的なトリガーを使用します:主題行とメッセージの恐怖、罪悪感、有用性、従順さ、および緊急性に関するものです。
防衛的戦略
「悪意のあるコミュニケーションを正しく識別できるようにテクノロジーのあらゆるユーザーに高度な知識レベルを本当に注入することはほぼ不可能です」とKayser はCSOに述べました。「しかし、何が教えられるかは、人々が私たちが受け取る通信は存在せず、我々が要求または何をするか受け取る必要があることを実感させることを実現させることです。」
すべての従業員は、メールまたはテキストについて懐疑的である場合、彼らはすぐにITの部門にそれをレビューするよう要求するべきであると彼は述べました。
別の防衛的な戦略、Kayserは、示唆として、すべての着信通信がHRのために企業のメールシステム上の特定のフォルダにリダイレクトされていることがあります。ウイルスと破損したファイルの完全なチェックが実行されます。一部は、これらのファイルが個人的に識別可能な情報を含む可能性があり、HRの外部の誰にも見えないべきであると主張しています。これは有効な懸念です。しかし、このステップはITがファイルコンテンツを検査する必要はなく、マルウェアと疑わしい活動を探すことは必要ありません。
