音声フィッシングは昨年急増し、サイバー犯罪者が被害者のIT環境への初期アクセスを獲得するための2番目に一般的な方法となりました。また、クラウド環境への侵入時に使用される第1位の戦術です。
ShinyHuntersやScattered Lapsus$ Huntersなどのグループは、Google CloudのMandiant Consulting副社長であるJurgen Kutscherによると、2025年の攻撃でこれらおよび他の種類のインタラクティブなソーシャルエンジニアリング戦術を益々使用しました。これには、人間がリアルタイムで会話を操作することが含まれています。
“インタラクティブなもの、音声ベースのものが本当に新しい課題を生み出しています”と彼はセキュリティ企業の年次M-TrendsレポートについてのThe Registerへのインタビューで述べました。これは昨年世界中で実施されたMandiantの50万時間以上のインシデント対応活動から収集されたデータに基づいています。
レポートによると、昨年の攻撃の11%で攻撃者が音声ベースのフィッシングを初期感染ベクトルとして使用し、これはシステムへの不正アクセスを獲得する2番目に一般的な方法となりました。脆弱性の悪用は6年連続でトップを占め、成功した攻撃の32%を占めました。
一方、フィッシングメールのような非インタラクティブなおびき寄せは、2025年の侵入のわずか6%に減少しました。
“2025年に見たことは、特定の脅威行為者がITヘルプデスクに電話をして、例えば、MFA用に攻撃者が管理するデバイスを登録してパスワードをリセットしようとしていることです”とKutscher氏は述べました。”彼らはITヘルプデスクをだまくらかすための多くの異なるシナリオを構築していて、ITヘルプデスクはデフォルトでは援助しようとします。これはインタラクティブなソーシャルエンジニアリング攻撃がそれほど強力である理由の一部です。”
「修正」をクリックしないでください
詐欺師はITヘルプデスクをインタラクティブなソーシャルエンジニアリング詐欺でターゲットにしているだけではなく、Googleおよび他のセキュリティ研究者も過去1年間のClickFix攻撃のスパイクを記録しました。
ClickFixは極めて人気のあるソーシャルエンジニアリング戦術で、攻撃者がユーザーを自分のコンピューター上で悪意のあるコマンドを実行するように騙します。通常は、偽のコンピューター問題修正をクリックするか、「ロボットではありません」というプロンプトをクリックすることで行われます。
Googleの脅威インテリジェンス部門は昨年この技術を使用している”数十人”の犯罪者を記録し、特に広範な初期アクセス操作に焦点を当てた脅威クラスターを文書化しました。
“これらの種類の攻撃で脅威行為者が極めて創造的であることがわかります”とKutscher氏は述べました。”そして彼らは被害者と直接インタラクティブな接触を確立することでこれを行っており、これは新しいレベルの洗練です。しかし、見返りは明らかに投資を正当化しています。”
極端なタイムライン
102ページのレポートで強調されている別の傾向は、Kutscher氏によると、攻撃者のタイムラインの”極端”を含みます。
Mandiatの調査は、増加する数の”ハンドオフ”を示しており、1個人または班が初期アクセスを獲得し、その後、そのアクセスを第二の脅威グループ(通常はランサムウェアまたはデータ盗難および恐喝ギャング)にハンドオフします。多くの場合、このハンドオフは30秒以内に発生します。
“そして、スペクトルの反対側に、脅威行為者が得た”この極端なレベルの洗練されたステルス”があります”これにより、被害者の環境に隠れたままで検出されずに残ることができ、時には数百日間隠れていることが可能です。Kutscher氏は述べました。
スペクトルのこの端にいる攻撃者(通常はスパイ活動グループと北朝鮮のスキャムITワーカー)はファイアウォール、ルーター、VPNのようなネットワークエッジデバイスをターゲットにして、通常はゼロデイバグを悪用することでこれを行います。エッジデバイスのオペレーターはしばしばエンドポイントセキュリティ製品でそれらを保護していないため、マシンを実行している攻撃は防御者をしばしば回避します。悪人は悪いビジネスについて行っている間隠れたままでいることができます。
Kutscher氏はこのトレンドを”エッジで生活する”と呼んでおり、2年前に初めてそれについて話し始めました。”興味深いのは、彼らがこれらのエッジデバイスをどのように活用しているかの進化です。”と彼は述べました。
悪人はもはやIT環境へのアクセスのためにエッジデバイスを使用しているだけではありません。”現在、彼らはこれらのエッジデバイスで利用可能なコア機能も活用し、これらのエッジデバイスで生活し、ネットワークトラフィックをインターセプトし、クリアテキストパスワードなどをインターセプトできます。”Kutscher氏は述べました。
場合によっては、これは攻撃者がエッジデバイス自体から秘密および他の機密データを盗むことができるため、内部ネットワークに移動する必要さえないことを意味します。
“それは極めて強力な持続メカニズムであり、400日の滞在時間を持つ一部の脅威行為者を見ている理由です。そして中央値の滞在時間が11日から14日に変わっています。”Kutscher氏は述べました。
Brickstormを覚えていますか?
Mandiatは2025年の”多くの”インシデントを調査しました。その中で、UNC6201として追跡された疑わしい中国政府スパイ班がエンドポイントセキュリティ製品をサポートしていないエッジデバイスに侵入し、長期アクセスを維持するためにBrickstormと呼ばれるバックドアをデプロイし、アプライアンス上の位置から有効な認証情報を取得しました。スパイはその後、これらの認証情報を使用して被害者のVMware環境にアクセスしました。
彼らは平均して393日間検出されずに残りました。
これらのシナリオはネットワークインフォセックチームに課題をもたらします。例えば、初期アクセスからランサムウェア感染までの非常に短いハンドオフ時間は、防御者が”マシン速度で運用する”必要があることを意味するとKutscher氏は述べました。”攻撃ライフサイクルが秒単位で発生する場合、人間の速度はおそらくこれらのタイプの攻撃を停止するのに十分ではないでしょう。”
もちろん、セキュリティとAIベンダーのGoogleは、それを支援するために販売したい製品の全体的なスイートを持っています。
“低影響度のインシデントが数秒以内に高影響度のインシデントに変わる可能性があることも認識する必要があります。”Kutscher氏は述べました。”調査の観点から、もはや何かを低影響度に分類して後で却下することはできません。これらすべてのイベントを見て、段階1の攻撃である可能性があり、企業にとって潜在的に悲劇的な結果につながる可能性があることを理解する必要があります。” ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/23/voice_phishing_skyrockets_as_smooth/
