フィッシングなどのソーシャルエンジニアリング攻撃の多くは、比喩的に言えば羊の皮をかぶった狼を装うものです。Abnormal Securityによる2023年上半期のブランドなりすましと認証情報フィッシングの傾向を調査した新たな調査によると、フィッシング攻撃において偽装手段として最も悪用されたブランドはMicrosoftでした。
Abnormalによってブロックされたフィッシング攻撃で偽装された350のブランドのうち、Microsoftの名前が使われていたのは4.31%(約65万件)でした。レポートによると、攻撃者がMicrosoftを好むのは、組織のMicrosoft環境を横断的に攻撃できる可能性があるためです。
Abnormalの脅威対策部門は、生成AIがソーシャルエンジニアリング攻撃の構築にどのように利用されつつあるかを追跡しました。この調査では、AIツールがいかにして、攻撃者が説得力のあるフィッシングメールの作成、ウェブサイトの偽装、悪意のあるコードの作成をはるかに容易かつ迅速に行えるようにしているかを検証しています。
ジャンプ先:
- フィッシング攻撃でなりすまされたブランドトップ10
- 攻撃者は生成AIにますます依存している
- 認証情報に着目したフィッシング攻撃がいかにして永続化につながるか
- BECの増加と攻撃の巧妙化
- 明らかな証拠ではないにしても、フィッシングの強い警告サイン
フィッシング攻撃でなりすまされたブランドトップ10
4.31%という数字は小さいように思えるかもしれませんが、アブノーマル・セキュリティのCISOマイク・ブリットン氏は、これは2番目に多くなりすましの多かったブランドであるPayPalの4倍に相当すると指摘しました。PayPalは、アブノーマルが追跡した攻撃の1.05%でなりすましに利用されました。2023年のなりすましブランドのロングテールにおいて、MicrosoftとPayPalに次ぐのは、以下の通りです。
- マイクロソフト:4.31%
- ペイパル: 1.05%
- フェイスブック: 0.68%
- ドキュサイン:0.48%
- インテュイット:0.39%
- DHL: 0.34%
- マカフィー:0.32%
- グーグル:0.30%
- アマゾン:0.27%
- オラクル:0.21%
ベスト・バイ、アメリカン・エキスプレス、ネットフリックス、アドビ、ウォルマートは、過去1年間にアブノーマルが警告した認証情報フィッシングやその他のソーシャルエンジニアリング攻撃に利用された350社のリストに含まれるその他のなりすましブランドの一部である。
攻撃者は生成AIにますます依存している
ブランドインパーソネーションの特徴の一つは、ブランドのトーン、言語、イメージを模倣する能力です。Abnormalのレポートによると、フィッシング攻撃者は生成AIツールへのアクセスが容易になったことで、この能力をますます活用しています。生成AIチャットボットを利用することで、脅威攻撃者は効果的なメールだけでなく、ブランドイメージに忠実な画像、ロゴ、コピーで構成された完璧な偽ブランドウェブサイトを作成し、被害者にネットワーク認証情報を入力させるように仕向けることができます。
例えば、報告書を執筆したブリトン氏は、Abnormal社が生成AIを用いて物流会社DHLを装う攻撃を発見したと述べている。標的のクレジットカード情報を盗むため、偽メールは被害者に「未払いの関税」の配送料を支払うためのリンクをクリックするよう促していた(図A)。
図A
アブノーマル社がフィッシングメールに生成AIの指紋を散布する方法
ブリトン氏はTechRepublicに対し、アブノーマル社は最近リリースしたCheckGPTを使ってAIを追跡していると説明した。CheckGPTは、フィッシングメールやその他のソーシャルエンジニアリング攻撃などのメール脅威が、生成AIツールを使用して作成された可能性が高いかどうかを判断するのに役立つ、内部の事後検出ツールである。
「CheckGPTは、オープンソースの大規模言語モデル群を活用して、生成AIモデルがメールメッセージを作成した可能性を分析します」と彼は述べた。「システムはまず、メッセージ内の各単語がAIモデルによって生成された可能性を、その前の文脈を考慮して分析します。その可能性が一貫して高い場合、テキストがAIによって生成された可能性が高い指標となります。」
攻撃者は生成AIを使って認証情報を盗む
ブリトン氏によると、攻撃者はAIを、認証情報フィッシング、ビジネスメール詐欺、ベンダー詐欺といった攻撃に利用しているという。AIツールはなりすましウェブサイトの作成にも利用できるものの、「これらは通常、主要な攻撃手段としてのメールを補完するものです」とブリトン氏は述べた。「私たちは既にこれらのAI攻撃の実態を目の当たりにしています。アブノーマル社が最近発表した調査では、ビジネスメール詐欺(BEC)や認証情報フィッシング攻撃など、AIによって生成されたと強く疑われる言葉を含むメールが多数確認されています」。同氏は、AIはタイプミスや重大な文法ミスといった決定的な証拠となる誤りを修正できると指摘した。
「さらに、脅威アクターが被害者のメール履歴やLinkedInプロフィールの内容の一部をChatGPTクエリに入力したとしたらどうなるでしょうか。これにより、高度にパーソナライズされた文脈、トーン、言語が加わり、BECメールの欺瞞性はさらに高まります」とブリトン氏は付け加えた。
参照:AI vs AI:フィッシング戦争の新たな前線(TechRepublic)
AIを用いて効果的なメール攻撃ツールを構築するのはどれほど難しいのでしょうか?それほど難しいわけではありません。2022年後半、テルアビブに拠点を置くCheck Pointの研究者たちは、生成型AIを用いて、実行可能なフィッシングコンテンツの作成、Visual Basic for Applicationsでの悪意のあるコードの作成、Officeドキュメントのマクロの作成、さらにはリバースシェル操作用のコードの生成まで、様々な手法を実証しました(図B)。
図B
また、脅威アクターが ChatGPT を使用してインフォスティーラーや暗号化ツールを作成している実例も公開しました (図 C )。
図C
認証情報に着目したフィッシング攻撃がBECにつながる仕組み
ブリトン氏は、認証情報フィッシング攻撃が悪質な理由の一つとして、攻撃者がネットワーク・パーシスタンス(組織内に寄生的に潜伏し、見えない形で居場所を確保する能力)を実現するためのラテラル・ジャーニー(水平展開)の第一歩となる点を挙げています。例えば、攻撃者がMicrosoftの認証情報にアクセスできれば、Microsoft 365のエンタープライズ環境に侵入し、OutlookやSharePointをハッキングして、ビジネスメール詐欺(BEC)やベンダー詐欺をさらに実行できるようになると指摘しました。
「認証情報フィッシング攻撃は、通常、より悪質な攻撃の最初のステップとなるため、特に有害です」とブリトン氏は書いている。
永続的な脅威アクターは正当なネットワークユーザーを装うことができるため、スレッドハイジャックを実行することもできます。これは、攻撃者が既存の企業メールの会話に割り込むことです。これらの戦術により、アクターはメールのやり取りに割り込んで乗っ取り、さらなるフィッシング攻撃を実行したり、メールを監視したり、組織の指揮系統を把握したり、例えば電信送金の承認者などを標的にしたりすることが可能になります。
「攻撃者が銀行の認証情報にアクセスすると、銀行口座にアクセスし、被害者の口座から自分の口座に資金を移すことができます」とブリトン氏は指摘する。フィッシング攻撃で盗まれたソーシャルメディアアカウントの認証情報があれば、攻撃者はアカウントに含まれる個人情報を利用して、被害者からデータのプライバシーを守るために金銭を脅迫することができるとブリトン氏は指摘する。
BECの増加とメール攻撃の高度化
ブリトン氏は、ビジネスメール詐欺(BEC)の成功は、攻撃者がソーシャルエンジニアリングを通じて標的から認証情報を盗むための重要な手段であると指摘しました。残念ながら、Abnormalによると、BECは増加傾向にあり、5年間の傾向が続いています。Microsoft Threat Intelligenceによると、2022年4月から2023年4月の間に、3,500万件のビジネスメール詐欺の試みが検出され、平均で1日あたり15万6,000件の試みがあったとのことです。
Splunkの2023年セキュリティ状況レポートは、セキュリティ問題に勤務時間の半分以上を費やしている1,520人のセキュリティおよびITリーダーを対象とした世界規模の調査に基づいており、過去2年間に報告されたインシデントの51%がBECであり、2021年と比較して約10%増加していることがわかりました。これに続いてランサムウェア攻撃とWebサイトのなりすましが続いています。
また、攻撃者が標的の組織のベンダーになりすまして、たとえば請求書の支払いを要求する金融サプライチェーン侵害の利用など、電子メール攻撃の巧妙化も進んでおり、この現象については Abnormal が今年初めに報告しました。
参照: 新たなフィッシングと BEC は複雑さを増し、MFA を回避 (TechRepublic)
明らかな証拠ではないにしても、フィッシングの強い警告サイン
Abnormal レポートでは、次のようななりすましの標的となるブランドからのメールに組織が注意する必要があると提言しています。
- アカウントへのアクセスを失う可能性についての説得力のある警告。
- 詐欺行為に関する偽の警告。
- 提供されたリンク経由でサインインすることを要求します。
