スピアフィッシングはメール攻撃のほんの一部に過ぎませんが、サイバーセキュリティ企業バラクーダネットワークスによる新たな調査で、その成功率の高さが明らかになりました。同調査では、2022年に350万のメールボックスに蓄積された500億通のメールを分析し、約3,000万件のスピアフィッシングメールを発見しました。これらの調査結果は、同社のスピアフィッシングのトレンドに関する最新レポートに掲載されています。
この割合は全メールの0.1%未満に過ぎませんが、1,000社以上の企業を対象とした調査結果を含む本調査で調査対象となった組織の半数が、昨年スピアフィッシングの被害に遭いました。また、4分の1の組織では、アカウント乗っ取りによって少なくとも1つのメールアカウントが侵害されていました(図A)。
図A
ジャンプ先:
- 個人情報窃盗とブランドなりすましがスピアフィッシング攻撃につながる
- 機械の損傷、データの流出が主な結果
- リモートワーカーの比率が高ければ高いほど、脆弱性は高まる
- 企業は電子メール攻撃の特定と対応に時間がかかっている
- 対応の遅さがサイバー窃盗の危険を増大させる
- 自動化とAIが応答時間を短縮
- スピアフィッシングのトレンドは2023年も続く
- AIモデルは異常な電子メール通信パターンをフラグ付けできる
個人情報窃盗とブランドなりすましがスピアフィッシング攻撃につながる
Barracuda Networks の調査では、最も蔓延している 5 つのスピアフィッシング攻撃を特定しました。
- 詐欺:スピアフィッシング攻撃の 47% は、詐欺や個人情報の盗難を目的として、被害者を騙して情報を開示させるものでした。
- ブランドのなりすまし:スピアフィッシング攻撃の 42% は、認証情報を収集するために被害者に馴染みのあるブランドを模倣しました。
- ビジネスメール詐欺:スピアフィッシング攻撃の 8% は、従業員、パートナー、ベンダー、またはその他の信頼できる人物になりすまして、被害者に電信送金を強要したり、財務部門からの情報を提供させたりしていました。
- 恐喝:スピアフィッシング メールの 3% で、個人情報の漏洩を脅迫する内容が使用されました。
- 会話の乗っ取り:攻撃の 0.3% は既存の会話の乗っ取りを伴っていました。
同社はまた、Gmail ユーザーが Microsoft 365 ユーザーよりもスピアフィッシングの被害者になる可能性が高いことも発見しました (それぞれ 57% 対 41%)。
機械の損傷、データの流出が主な結果
このレポートには、バラクーダが委託した独立系調査会社 Vanson Bourne による調査結果の詳細が記載されており、同社は米国、EMEA、アジア太平洋諸国のさまざまな業界の従業員数 100~2,500 人の企業 1,350 社を対象に調査を実施しました。
調査では、企業に対し、メール攻撃による被害について質問しました。半数以上が、機器がマルウェアに感染したと回答し、約半数が機密情報の盗難を報告しました(図B)。
図B
リモートワーカーの比率が高ければ高いほど、脆弱性は高まる
リモートワークはリスクを増大させています。リモートワークの従業員が50%を超える企業のユーザーは、不審なメールの受信件数が多いと報告しています。平均で1日12件であるのに対し、リモートワークの従業員が50%未満の企業では1日9件です。また、リモートワークを推進する企業は、メールセキュリティインシデントの検知と対応に時間がかかることも報告しています。検知に55時間、対応と軽減に63時間かかったのに対し、リモートワークの従業員が少ない企業では、それぞれ平均36時間と51時間でした。
典型的な平日1日あたり、IT部門に報告された不審なメールは平均10件でした。インドのユーザーは、1日あたり15件という最も高い不審なメール数を報告しており、これは世界平均を50%上回っています。一方、米国では1日あたり9件という平均でした(図C)。
図C
報告書によると、インドで報告されたインシデントの数が比較的多いことは、インドの組織が電子メール攻撃の防止に苦労していること、またはインドの組織が疑わしい電子メールに重点を置いたことの証拠である可能性がある。
報告書によると、平均的な組織は、スピアフィッシング攻撃であると特定された電子メールを 1 日あたり約 5 通受信しており、これらの攻撃は平均 11% のクリックスルー率を獲得しています。
企業は電子メール攻撃の特定と対応に時間がかかっている
バラクーダが企業を対象に行った調査によると、企業がメールセキュリティインシデントを検知するまでに平均約2日かかることがわかりました。バラクーダが調査した企業は、メールエクスプロイトの特定、対応、修復に平均で合計約100時間を要しました。攻撃検知後の対応と修復には56時間かかりました。
報告書によると、スピアフィッシング攻撃を経験した回答者からは次のような声が聞かれました。
- 55% が、自分のマシンがマルウェアまたはウイルスに感染していると報告しました。
- 49%が機密データの盗難に遭ったと報告しています。
- 48%がログイン資格情報を盗まれたと報告しています。
- 39%が直接的な金銭的損失を報告しました。
バラクーダの最高技術責任者、フレミング・シー氏は、電子メールは依然として大企業、さらには中小企業に対して使用される主な攻撃ベクトルであり、大企業を狙う攻撃者は、一回の攻撃で奪える以上の利益を求めていることが多いと述べた。
シー氏は、「彼らは個人、ブランド、データ窃取など、最初の身代金攻撃にとどまらず、企業に数年、あるいは複数回の支払いを要求できるような標的を狙っている可能性があります」と指摘した。「結局のところ、金銭目的の攻撃は依然として多く発生していますが、国民の意見に影響を与えたり、変えようとしたり、ひょっとすると2024年の選挙にさえ影響を与えようとする、国家主導や政治的動機に基づくサイバー攻撃にも注意が必要です。こうした攻撃は、武器を微調整するだけで、異なる影響を与えることができるため、容易に実行可能です。」
対応の遅さがサイバー窃盗の危険を増大させる
調査によると、組織の20%がメール攻撃の特定に24時間以上かかっていることがわかりました。調査によると、この長い時間は、ユーザーが悪意のあるリンクをクリックしたり、メールに返信したりする時間があることを意味します。回答者の38%が、攻撃への対応と修復に24時間以上かかっていると報告しています。障害として挙げられた点としては、自動化、予測可能性、そしてスタッフの知識不足が発見プロセスを阻害していることが挙げられます(図D)。
図D
「スピアフィッシングは、標的型攻撃やソーシャルエンジニアリングを駆使する攻撃は、発生件数こそ少ないものの、その手口は不釣り合いなほど多くの侵入を成功させており、たった一度の攻撃が壊滅的な被害をもたらす可能性があります」とShi氏は述べています。「こうした非常に効果的な攻撃に対抗するためには、企業は人工知能機能を備えたアカウント乗っ取り対策ソリューションに投資する必要があります。こうしたツールは、ルールベースの検知メカニズムよりもはるかに高い効果を発揮します。検知効率の向上は、スピアフィッシングを阻止し、攻撃発生時の対応を軽減するのに役立ちます。」
報告書によると、スピアフィッシングの被害を受けた組織は、電子メールのセキュリティ侵害に関連するコストが昨年増加したと答える傾向が高く、他の種類の電子メール攻撃の被害を受けた組織では約76万880ドルだったのに対し、スピアフィッシングの被害を受けた組織では110万ドルに上った。
自動化とAIが応答時間を短縮
バラクーダネットワークスによると、米国の組織の36%が自動インシデント対応ツールを活用しており、45%がコンピュータベースのセキュリティ意識向上トレーニングを活用しています。どちらのグループも平均対応時間が短縮されていると報告しており、これはITリソースの使用量が減少し、そのリソースを他のタスクに集中させられることを意味します。
大規模組織では、インシデントへの迅速な対応を阻む最も可能性の高い障害として、自動化の欠如を挙げています。従業員数250人以上の組織では41%、100~249人の組織では28%でした。小規模企業では、以下のような追加の理由をほぼ同数挙げています。
- 予測可能性の欠如(29%)
- スタッフの知識(32%)
- 適切なセキュリティツール(32%)
スピアフィッシングのトレンドは2023年も続く
Shi氏は、会話の乗っ取りやビジネスメール詐欺に関連するスピアフィッシングが今年も引き続き蔓延する可能性が高いと述べ、会話の乗っ取りは、基本的にメールが盗まれた過去のデータ侵害に基づいて行われるとしている。
「私が例として挙げるのは、Microsoftによる脆弱性攻撃であるProxyLogonです。攻撃者は認証情報だけでなく、過去のメールのやり取りも盗み取り、過去のやり取りに基づいて攻撃を繰り返すことで、基本的に武器を再現することができました」と彼は述べた。「つまり、あらゆるガードレール、特に人間レベルの認識をはるかに容易に回避できるのです。」
また、これらの攻撃はすべてリンクや添付ファイルを備えているわけではないため、ブロックが困難になるだろうと彼は述べた。「信頼を得るための単なるやり取りが、その後、環境へのさらなるアクセスにつながる可能性があるのです」と彼は述べた。
BECはスピアフィッシングを促進し、逆もまた同様である
Shi 氏は、BEC がさらなるフィッシング攻撃につながり、フィッシングが BEC につながる可能性があるため、BEC とスピアフィッシングの関係は「密接かつ共生的」であると考えています。
「主な違いは、ほとんどのBECにはリンクや添付ファイルがないことです。やり取り、つまり会話が、最終的に何か悪いことに繋がります。しかし、そこに至るまでには、誰かが環境を侵害する必要があります。その武器となるのは、認証情報を盗み出す最初のスピアフィッシング攻撃です。」
そして、盗んだ認証情報を使って攻撃者は環境にアクセスし、攻撃を継続するための通信パターンを特定できると彼は付け加えた。「攻撃者は環境に溶け込むようにカモフラージュします。なぜなら、一度信頼関係が築かれると、攻撃者は検知メカニズムを回避できる新たな武器を起動し始めることができるからです。」
AIモデルは異常な電子メール通信パターンをフラグ付けできる
バラクーダネットワークスは、機械学習が通常の通信パターンを確立することで異常なメールを識別するための有用なツールであると示唆しました。また、AIを導入することで、アカウントが侵害されたことを自動的に認識できるとも述べています。
同社はまた、次のように提案している。
- 未知のアカウントからのログインを識別するテクノロジーを使用します。
- 悪意のある受信トレイルールの電子メールを監視します。
- 多要素認証を使用します。
- DMARC 認証とレポートを実装します。
- インシデント対応の自動化。
- 攻撃を認識して報告するためのスタッフのトレーニング。
