ソーシャルエンジニアリング攻撃は、人間行動の心理的操作に基づくサイバーセキュリティ攻撃です。機密データの開示、認証情報の共有、個人用デバイスへのアクセスの許可、またはその他の方法によるデジタルセキュリティの侵害を目的としています。
多くの攻撃が個人レベルで始まり、攻撃経路を進めるために人為的ミスに依存しているものであるため、ソーシャルエンジニアリング攻撃はサイバーセキュリティに大きな脅威をもたらします。被害者に共感、恐怖、緊急感を呼び起こすことで、攻撃者は個人情報やエンドポイント自体にアクセスできることがよくあります。デバイスが企業ネットワークに接続されている場合、または企業アカウントの認証情報が含まれている場合、攻撃者にエンタープライズレベルの攻撃への道を開く可能性もあります。
サイバー犯罪者が人員や従業員を騙すために、これまで以上に相手を操作する方法を考案しているので、組織はその手口の先を行く必要があります。この投稿では、最も一般的な10種類のソーシャルエンジニアリング攻撃について説明します。
1. フィッシング
フィッシングは、Eメール、電話、SMS、ソーシャルメディア、またはその他の形式の個人的な通信を利用して、悪意のあるリンクをクリックしたり、感染したファイルをダウンロードしたり、パスワードやアカウント番号などの個人情報を開示したりするようにユーザーを誘導するサイバー攻撃です。
最もよく知られているフィッシング攻撃は通常、王室の一員が個人の銀行情報を要求しているなど、風変わりな内容のものですが、現代のフィッシング詐欺ははるかに洗練されています。多くの場合、サイバー犯罪者は小売業者、サービスプロバイダー、または政府機関になりすまして、Eメールアドレス、電話番号、ユーザーの生年月日、家族の名前など、無害に見える個人情報を抽出します。
フィッシングは最も一般的なタイプのサイバー攻撃の1つであり、年々増加し続けています。COVID-19は、フィッシング攻撃を含むあらゆる種類のサイバー攻撃を劇的に増加させました。ロックダウン期間中、人々は一般的にオンラインでより多くの時間を過ごし、感情の高まりを経験しました。これは、フィッシングを効果的に推し進める仮想的なレシピとも言えるものです。FBIによると、フィッシングは2020年のサイバー犯罪のトップの形態であり、インシデントは2019年のほぼ2倍になっています。
2. ホエーリング
ホエーリング攻撃はフィッシング攻撃の一種で、これも個人的なコミュニケーションを利用してユーザーのデバイスや個人情報にアクセスします。
フィッシングとホエーリングの違いは、パーソナライズのレベルです。フィッシング攻撃はパーソナライズされておらず、何百万人ものユーザーに対しても同じように行える可能性がありますが、ホエーリング攻撃は1人の人物、通常は上級幹部を対象としています。このタイプの攻撃には、その個人に関するかなりの量の調査が必要です。通常、ソーシャルメディア活動やその他の公の行動を確認することによって行われます。この詳細な調査により、より洗練された仕方で相手に到達することができ、成功の可能性が高まります。
ホエーリング攻撃は、初期段階でより多くの計画と労力を必要としますが、ターゲットは価値の高いデータや財源にアクセスできるため、多くの場合、ランサムウェア攻撃を進めることにより、大きな見返りが得られます。
詳細
フィッシング、スピアフィッシング、ホエーリング攻撃の違いについてご確認ください。詳細
3. ベイティング
ベイティング(釣り餌)は、ソーシャルエンジニアリング攻撃の一種であり、詐欺師はユーザーにうその約束をして誘惑し、個人情報を公開させたり、システムにマルウェアをインストールさせたりします。
ベイティング詐欺は、無料のゲームや映画のダウンロード、音楽ストリーミング、スマートフォンのアップグレードなど、魅力的な広告やオンラインプロモーションの形を取ることがあります。攻撃者は、ターゲットがオファーを受け入れる際に使用するパスワードが他のサイトでも使用しているパスワードであることを期待します。そうであれば、被害者のデータにアクセスしたり、ダークウェブ上の他の犯罪者に情報を販売したりできるようになります。
ベイティングは物理的な形でも行われます。最も一般的にはマルウェアに感染したフラッシュドライブを使用します。攻撃者は、感染したフラッシュドライブを、誰かが見る可能性が最も高い場所に放置します。見つけた人は、フラッシュドライブをコンピューターに挿入して、誰のものかを確認しようとします。その際に、マルウェアが自動的にインストールされます。
4. 迂回盗難
迂回盗難は、元々オフラインでの行為に由来するサイバー攻撃です。そのような行為では、攻撃者は宅配便業者をだまして、間違った場所で荷物を集荷または配達したり、間違った荷物を配達したり、間違った受取人に荷物を配達したりさせます。
その後、迂回盗難はオンラインの形態へと姿を変えました。悪意のあるアクターは、ユーザーを騙して間違った受信者に送信させることで、機密情報を盗みます。
このタイプの攻撃には、サイバー犯罪者が既知または信頼できるソースになりすますために使用する手法である、スプーフィングが関係していることがよくあります。スプーフィングには、Eメールスプーフィング、IPスプーフィング、DNSスプーフィング、GPSスプーフィング、Webサイトスプーフィング、スプーフィング通話など、さまざまな形態があります。
5. ビジネスEメール詐欺(BEC)
ビジネスメール詐欺(BEC)は、ソーシャルエンジニアリング戦術の1つで、攻撃者は組織内の財務問題に対処する権限を与えられた信頼できる幹部を装います。
この攻撃シナリオでは、詐欺師は幹部の行動を注意深く観察し、スプーフィングを使用して、偽のEメールアカウントを作成します。幹部に偽装した上で、攻撃者は部下に電信送金、銀行の詳細の変更、およびその他の金銭関連のタスクを実行するように要求するEメールを送信します。
BECは企業に莫大な経済的損失をもたらす可能性があります。他のサイバー詐欺とは異なり、これらの攻撃は、悪意のあるURLやマルウェアに依存していません。そのようなものであれば、ファイアウォールやエンドポイント検出および応答(EDR)システムなどのサイバーセキュリティツールによって捕捉される可能性があります。それに対してBEC攻撃は完全に個人的な行動によって実行されるものなので、特に大規模な組織では、監視と管理が難しいことがよくあります。
6. スミッシング/SMSフィッシング
SMSフィッシング、すなわちスミッシングは、特にSMSメッセージを介して行われるソーシャルエンジニアリング攻撃です。この攻撃では、詐欺師はユーザーを誘導して、悪意のあるサイトにつながるリンクをクリックさせようとします。サイトにアクセスすると、被害者は悪意のあるソフトウェアやコンテンツをダウンロードするように求められます。
人々がモバイルデバイスを使用する時間が長くなるにつれて、スミッシング攻撃は犯罪者の間で広く用いられるようになっています。ユーザーはEメールフィッシングの検知に通じるようになっていますが、その多くはテキストメッセージに関連するリスクにあまり気づいていません。
スミッシング攻撃は、脅威アクターにとってほとんど労力を必要としません。たいていは、なりすましの番号を購入して悪意のあるリンクを設定するだけで実行されます。
7. Quid Pro Quo(代償型)
代償型攻撃では、攻撃者は望ましいサービスと引き換えに被害者の機密情報を求めようとします。
たとえば、攻撃者はITサポート技術者を装い、コンピューターユーザーに電話して、ネットワーク速度の低下やシステム修正プログラムの適用など、一般的なITの問題に対処しながら、ユーザーのログイン認証情報を取得しようとします。認証情報を手に入れると、攻撃者はこの情報を、デバイスとそのアプリケーションに保存されている他の機密データにアクセスするために使用するか、ダークウェブで販売します。
8. プリテキスティング
プリテキスティングは、ソーシャルエンジニアリングの一形態です。もっともらしいシナリオまたは口実(プリテキスト)を作成して、被害者に貴重で機密性の高いデータを共有するように説得しようとします。
口実を作成する攻撃者は、法執行機関のメンバーや税務当局者などの権威ある立場にある人、またはタレントエージェンシーのスカウトや懸賞の主催者など、相手が関心を持つ人物になりすますことがあります。状況を説明した後、攻撃者は被害者に質問をして個人情報や機密情報を得て、それを使用して他の攻撃シナリオを進めたり、個人アカウントにアクセスしたりします。
9. ハニートラップ
ハニートラップ攻撃は、オンラインの出会い系サイトやソーシャルメディアで恋愛の相手を探している個人を特に標的とする、ソーシャルエンジニアリング手法です。犯罪者は、相手と親しくなるため、架空の人格を作り出し、偽のオンラインプロファイルを設定します。犯罪者は時間をかけて関係を利用し、被害者をだましてお金を得たり、個人情報を抽出したり、マルウェアをインストールさせたりします。
テイルゲーティング/ピギーバック
テイルゲーティングはピギーバックとも呼ばれ、先に建物に入った人にドアを開けたままにしてもらうなどして自分も入るという、物理的な侵入方法です。攻撃者は、チャンスを増やすため、配達ドライバーや他のもっともらしい人物になりすまします。施設内に入った犯罪者は、時間を使って偵察を行ったり、放置されているデバイスを盗んだり、機密ファイルにアクセスしたりできます。
テイルゲーティングには、許可されていない人が従業員のラップトップやその他のデバイスを借りられるようにして、マルウェアをインストールすることが含まれる場合もあります。
ソーシャルエンジニアリング攻撃を防ぐ方法
ソーシャルエンジニアリング攻撃の発生を防ぐことは不可能ですが、人員や組織は、責任ある行動、セキュリティ意識、教育、警戒を通じて自身を守ることができます。
心当たりのない、なじみのない、または疑わしいソースから何らかの形式の通信を受信したときに参考にできるいくつかの考慮事項を次に示します。
個人ユーザー
| ソースの正当性を確認する。 メールヘッダーに十分に注意を払い、同じ送信者からの以前のメールと一致しているか確認します。スペルや文法の間違いに注意してください。これらは詐欺の一般的な兆候です。 | 知らない送信者や疑わしい送信者からのリンクをクリックする、またはファイルをダウンロードする。 リンクの上にマウスを合わせて、その正当性を確認してください(クリックはしない)。 |
| オペレーティングシステムとアプリケーションを定期的に更新してパッチを適用する。 既知の脆弱性のリスクを軽減するためです。 | 個人情報を共有する。 アカウント番号、パスワード、クレジットカードの詳細などです。 |
| 第三者から連絡を受けたときは警戒を怠らない。 信頼できる組織は、パスワードやログイン認証情報を伝えるようユーザーに要求することは決してないことに注意してください。すべての会話は、過去に自分が選択したセキュリティの質問を通じて身元を確認するように求める、エージェントから切り出させるようにします。 | 緊急とされる要求に応答する。 詐欺師は、多くの場合、即座に行動しなければならないとの印象を与えようとします。必ず、情報を得るには時間が必要であると伝え、別の連絡方法で要求を確認してください。 |
| ポップアップブロッカーとスパムフィルターをインストールする。多くの脅威を検知し、感染したEメールがデバイスに到達するのを阻止することもできます。 | 所有者不明なUSBまたはその他のデバイスをコンピューターに挿入する。持ち主のわからないUSBまたはその他のエンドポイントを見つけた場合は、ITプロフェッショナルまたは情報セキュリティチームのメンバーに引き渡します。 |
| サイバーセキュリティソフトウェアに投資する。評判の良いセキュリティベンダーから入手し、定期的に更新してください。 | 他のユーザーが自分個人のデバイスまたはアカウントにアクセスするのを許す。マルウェアはほんの数秒でインストールできます。デバイスを他のユーザーと共有しないでください。また、友人や同僚に監視なしでデバイスを使用させないでください。 |
| HTTPSで始まるURLにしかアクセスしない。安全なブラウジング機能を備えたリンクを使用すると、悪意のあるWebページやなりすましのWebページにアクセスする可能性が最小限に抑えられます。 | |
| 多要素認証(MFA)を有効化して、アカウントの侵害を減らす。 | |
| 自分のアカウントまたは公式Webサイトからログインする。埋め込みリンクやポップアップ広告ではなく、この方法でサイトにアクセスすることは、正当性を確保する方法の1つです。 | |
| パスワードマネージャーを使用する。このツールは、有効なサイトには保存されたパスワードを自動的に入力しますが、なりすましサイトは認識しません。 |
エンタープライズユーザー
- サイバーセキュリティのベストプラクティスについてすべての従業員をトレーニングする:
従業員は、すべてのデバイスについて適切なハイジーン慣行に従う必要があります。これには、強力なパスワード保護の使用、安全なWi-Fiのみへの接続、フィッシングを常に警戒することが含まれます。 - オペレーティングシステムやその他のソフトウェアにパッチを適用し、最新の状態に保つ:
既知の脆弱性への露出が最小限に抑えられます。 - ソフトウェアを使用して未知の脅威を検知し、防止する:
CrowdStrike Falcon®プラットフォームは、AIを活用した機械学習を使用して既知および未知のマルウェアから保護する、次世代アンチウイルス(NGAV)を提供します。Falconは攻撃の痕跡(IOA)を探し、ランサムウェアが実行されて損害を与える前に、ランサムウェアを阻止します。 - 悪意のあるアクティビティおよびIOAがないか環境を継続的に監視する:
CrowdStrike® Falcon Insight™(エンドポイントでの検知と対応(EDR))は、エンドポイントを継続的に監視し、処理前のイベントをキャプチャして、防止手法だけでは識別できない悪意のあるアクティビティを自動的に検知します。Insightはまた、プロアクティブで高度な脅威ハンティング機能のための可視性も提供します。 - 脅威インテリジェンスをセキュリティ戦略に統合する:
br>システムをリアルタイムで監視し、最新の脅威インテリジェンスに遅れずについていくことで、攻撃を迅速に検出し、最善の対応方法を理解し、拡散を防ぎます。CROWDSTRIKE FALCON® INTELLIGENCEは、脅威分析とインシデント調査を自動化して、すべての脅威を調査し、数分以内に対策をプロアクティブに展開します。
