タイプミスの数を数えるだけでは、もはやフィッシングメールを認識することはできません。そして、本物らしく見えるメールに何も考えずに返信すれば、あなたも引っかかるでしょう。
4,600以上の組織にわたるほぼ800,000件のメール攻撃の分析により、攻撃者が技術的脆弱性の悪用から離れて、行動上および組織的な弱点を標的にすることへシフトしていることが示されています。つまり、メール攻撃者は現在、信頼関係と通常のワークフローを悪用した調整された戦術で被害者を標的にしています。
メール攻撃の3つの主な方法は、フィッシング、ビジネスメール侵害(BEC)、ベンダーメール侵害(VEC)です。フィッシングは依然として優位を占め、すべての攻撃の58%を占めています。BECはすべての攻撃の11%を占め、VEC(BECのサブタイプ)はすべてのBEC攻撃の60%以上を占めています。詳細はAbnormal AIの2026年Attack Landscape レポートに記載されています。
フィッシングは標的によって異なります。
ファイル共有の誘い文句は、ドキュメント交換が一般的で予想される業界と役割に集中しています。ブランド詐称は、対象のソフトウェアフットプリントの複雑さと一致しています。どちらの場合でも、誘い文句は従業員が使用するワークフローとツールに溶け込むように設計されています。「組織の運営方法を定義する同じ構造、ワークフロー、および関係は、攻撃が検出されずに溶け込むことができる場所も定義します」とレポートは述べています。
フィッシング攻撃の20%以上は、リダイレクトチェーンを使用して、最終的な悪意のあるページをユーザーとセキュリティツールの両方から隠しています。このうち10%をやや上回る部分がリンク短縮サービスを使用しており、tinyurl(31.6%)とt.co(26.6%)が支配的です。Tinyurlは無料サービスであり、t.coはX/Twitterによって送信リンクに自動的かつ無料で適用されます。どちらの場合でも、URLは正当に見えることができ、セキュリティチームは自動ブロックを課すことに消極的です。
BECはより低頻度で、より多くの攻撃者の職人技を含み、より大きな影響を与えます。
BECとVECはより低頻度ですが、フィッシングより潜在的にはるかに大きな影響を与える可能性があります。(BECは組織内の従業員を標的とし、VECは侵害されたベンダーアカウントに依存してベンダーの顧客またはサプライヤーを標的とします。)
BECでは、VIP詐称は小規模企業の攻撃の43%で使用されますが、大規模企業では7%のみです。1つの侵害されたアカウントが別のアカウントを標的とする組織内の横方向の攻撃は、その逆です:小規模な組織では1%未満から大規模な組織では23%以上に上昇します。注目に値することに、高等教育はそのような横方向の攻撃に特に脆弱であり、BEC攻撃の33%が横方向です。Abnormalは「開かれた高い離職率の環境は内部拡散に理想的な条件を作成する方法を示しています」と書いています。
BEC攻撃で使用される正確な方法は、企業の規模によって変わります:横方向の侵害は小規模企業では事実上ゼロですが、企業の規模とともに増加します。一方、VIP/経営幹部詐称は企業の規模とともに減少します。
すべてのBEC攻撃のほぼ40%は、従業員が同僚、経営幹部、および内部部門に置く信頼を悪用しています。これらの攻撃の45%は名前のある非経営幹部の同僚になりすまします。一般的ななりすまし(「偽のITヘルプデスク通知、HR福利厚生更新、給与システムアラート」)は36.7%で続きます。Abnormalのコメントによると、これらは成功します。「従業員が実際に誰が送信したかを精査せずに内部システムからの通信に行動するように調整されているため」です。
BECのVECサブタイプは、現在BEC個人詐称自体よりも一般的です。請求書詐欺は北米のVECを支配し、VECキャンペーンの42%を占めています。EMEAでは調達段階のプリテキストがキャンペーンの41%で支配的であり、地理的なビジネス慣行が攻撃方法に組み込まれていることを示しています。
「VECを防ぐのが特に難しい理由は、請求と支払いがベンダーと顧客の関係の通常の一部であり、毎日メールで議論されているからです。その結果、銀行情報の変更または大規模な資金移動を要求するベンダーから一見して送信されているように見える悪意のあるメッセージは、すぐに疑わしいとフラグが立たない可能性があります」とAbnormalは警告しています。
Abnormalの分析から非常に明らかなことは、古いずさんなタイプミスに満ちた文法的でないメール攻撃は現在歴史のゴミ箱に割り当てられているということです。今日、私たちは一般的なワークフローを標的とした洗練された口実と回避手段を備えた細かく標的化された攻撃キャンペーンを持っています。レポートはこの新しい質の攻撃で使用されているAIの犯罪使用について言及していません(定量化することは不可能でしょう)が、それは間違いなく重要な要素です。
しかし、レポートは、AIの防御的使用がこの品質の攻撃に対して防御するのに役立つ可能性があることを明確に示唆しています。「そのギャップを埋めるには、企業のクラウド環境内のすべての従業員とベンダーの行動基準を構築するためにアイデンティティ、コンテキスト、およびコンテンツを分析するAIが必要です。これが、従業員がかかわる機会を得る前に、攻撃が通常のビジネスとして通すことを試みる瞬間をフラグを立てることを可能にするものです。」
ガチョウの源であるものは、確実にガンダーの源として使用される必要があります。
