パロアルトネットワークスのUnit 42による新たなレポートは、攻撃者が技術的な脆弱性を悪用するのではなく、人間を操る手法へと移行していることを明らかにしています。昨年、ソーシャルエンジニアリングが侵入の最も頻繁な原因となりました。サイバー犯罪者は、組織への侵入において、デジタル技術よりも人間の心理を悪用する傾向が強まっています。
2025年版グローバルインシデント対応レポート:ソーシャルエンジニアリング編によると、2024年5月から2025年5月までのサイバー侵入の36%はソーシャルエンジニアリング戦術によるもので、マルウェアやソフトウェアの脆弱性を上回っています。攻撃者はファイアウォールを突破するのではなく、信頼、緊急性、そして人為的ミスを悪用してセキュリティプロトコルを回避しようとしており、これらの戦術は依然として検知が困難です。
ソーシャルエンジニアリングがサイバー犯罪を支配している理由
報告書によると、このアプローチはもはやフィッシングメールだけにとどまらず、脅威の攻撃者は現在、検索エンジンポイズニング、音声のなりすまし、ヘルプデスクの操作、さらには偽のブラウザアラートまで展開して、従業員を騙し、技術的な防御を回避しています。
ハイタッチ攻撃
Unit 42が指摘したトレンドの一つは、「ハイタッチ」攻撃の増加です。こうした攻撃では、ハッカーはマルウェアに頼らず、スタッフになりすましてヘルプデスクに電話をかけ、ITチームにパスワードのリセットや多要素認証(MFA)の無効化を促します。
報告書で引用されているあるケースでは、攻撃者はソーシャル トリックとネイティブ ツールのみを使用して、40 分以内に完全なドメイン管理者権限を取得しました。
Unit 42が追跡しているサイバー犯罪グループ「Muddled Libra」は、この分野で最も活発なプレイヤーの一つです。「Scattered Spider」としても知られるこのグループは、2022年以降、100社以上の企業に侵入しています。
しかし、金銭目的のハッカーだけではない。国家レベルの攻撃者もソーシャルエンジニアリングに目を向けている。例えば、北朝鮮の工作員は、リモートワーカーを装って大企業に就職し、資金を平壌に送り込んでいる。
ユニット42は、偽造した組織のアイデンティティを使用して、偽装電子メールや共有ドキュメントプラットフォーム経由でマルウェアを配布するAgent Serpensなどのイラン系グループによる同様の活動を追跡しています。
これらの攻撃は地政学的な目的があるが、その手法は利益追求型のハッカーが使用する手法と似ており、動機に関係なく、ほとんどの脅威アクターにとってソーシャルエンジニアリングが頼りになるツールとなっていることを示している。
偽のアップデートやClickFixキャンペーンが蔓延している
このレポートでは、偽の更新ポップアップ、SEO を強化した悪意のあるリンク、改ざんされたインストーラー プロンプトなどを通じてユーザーを騙してマルウェアをダウンロードさせるキャンペーンである ClickFix などの大規模攻撃の増加についても詳しく説明しています。
複数の確認済み事例では、従業員が正規のアップデートメッセージに見せかけたメッセージをクリックした後、RedLineやLummaといった認証情報収集ツールを知らずにダウンロードしていたことが確認されています。こうした攻撃はユーザーの信頼を悪用し、通常のブラウジング習慣に紛れ込んでいます。
AIは新たな危険をもたらす
人工知能(AI)の登場により、状況はさらに変化しています。Unit 42によると、脅威アクターは現在、生成AIを用いてパーソナライズされたメールを作成したり、電話詐欺で幹部の声をディープフェイクしたり、リアルタイムのチャットインタラクションをシミュレートしたりしています。
高度なケースでは、攻撃者はエージェントAI(より自律的なAI)を活用します。エージェントAIは、偽のLinkedInプロフィールを作成したり、標的の企業に就職するための説得力のある履歴書を作成したりするなど、多段階の攻撃を実行できます。これらのAIを活用した攻撃は、より迅速かつ現実的であり、識別がはるかに困難です。
現実世界の被害:ソーシャルエンジニアリングのコスト
Unit 42のインシデントログで特に注目すべき事例として、攻撃者がロックアウトされた従業員になりすまし、身元確認をすり抜け、マルウェアを一切使用せずに350GBを超える機密データにアクセスしたという事例がありました。すべての動作は通常の動作を模倣し、エンドポイントによる検出を回避しました。
報告によれば、
- ソーシャル エンジニアリング攻撃の 60% がデータの漏洩につながりました。
- 66% が特権アカウントを標的にしました。
- 45% は内部でのなりすましに関係していました。
ソーシャルエンジニアリングが依然として成功しているのは、ハッカーが高度なマルウェアを使用しているからではなく、根本的な人的およびプロセス上の弱点によるものです。Unit 42は、この問題の原因を、過剰なアクセス権、システムアラートの見落とし、そして脆弱な本人確認プロセスにあると考えています。
アラートの見逃しや無視は、侵入成功の13%を占めました。過剰な権限設定とMFAの未導入はそれぞれ10%でした。多くの場合、攻撃者は48時間以内に認証情報を再利用してクラウドシステムにアクセスしたり、ダークウェブで販売したりしていました。
報告書は、企業に対し、従来の意識啓発トレーニングの枠を超え、ソーシャルエンジニアリングを体系的な脅威として扱うよう求めている。
カスタマイズ可能なソーシャルエンジニアリングポリシー
Unit 42のレポートで概説されているように、ソーシャルエンジニアリングは単なる巧妙な戦術ではありません。攻撃者が現代の組織に侵入する主な手段です。だからこそ、組織は人為的ミスを偶発的なものと捉えるのではなく、根本的なセキュリティ脆弱性として捉える必要があります。
TechRepublic Premiumのソーシャルエンジニアリング認識ポリシーでは、フィッシングメールやCEOを装った電話の音声など、脅威がエスカレートする前に従業員がそれを検知できるよう、カスタマイズ可能なフレームワークを提供しています。このポリシーには、きめ細かなアクセス制御戦略、トレーニングプロトコル、そしてNISTガイドラインに準拠したツールが含まれており、人的防御層を強化します。
サイバーセキュリティに関するニュースの詳細については、マルウェアの歴史を辿る研究者 Mikko Hypponen 氏の Black Hat カンファレンス基調講演の報道をご覧ください。
