Proofpointの2022年ヒューマンファクターレポートによると、米国の労働者の55%が2021年に危険な行動をとったことを認めています。26%が疑わしいWebサイトに誘導するメールのリンクをクリックし、17%が誤って認証情報を侵害し、フィッシングという用語を正しく識別できたのは半数だけでした。
「もう一つの要素は、脅威アクターが攻撃においてソーシャルエンジニアリングを巧みに利用している点です」と、プルーフポイントのサイバーセキュリティ戦略担当エグゼクティブバイスプレジデント、ライアン・カレンバー氏は述べています。「脅威アクターは、ウクライナ紛争のように、現実世界の出来事を利用して、即座に感情的な反応を引き出そうとしています。また、電子メール、コールセンター、対面でのやり取りを組み合わせて、コミュニケーションが正当なものであるという印象を与えようとしていることも確認されています。」
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
報告書によると、こうしたメールベースのフィッシング攻撃を成功させる鍵は信頼です。今日のハッカーは、これまで以上に盗んだ認証情報を利用して、ネットワークやシステムへのアクセスだけでなく、ビジネスメール詐欺や権限昇格攻撃も実行しています。
「過去1年間、サイバー犯罪者が攻撃を開始する前に被害者との信頼関係を築くために驚くほどの努力をする傾向が強まっている」と報告書は述べている。
攻撃者は、通常は組織の幹部になりすまして被害者の信頼を獲得し、送金や請求書の変更といったタスクの実行を依頼します。Proofpointは、平均して毎月約8万件のこのようなタスク指向の悪意あるメールを確認しています。
ハッカーが用いるもう一つの手法は「スレッドハイジャック」と呼ばれるものです。これは、既に誰かのメールアカウントに潜伏している攻撃者が、同僚やビジネスパートナーとの既存のメールの会話に割り込むというものです。ハッカーが正当なメールスレッドに参加しているため、被害者が添付ファイルを開いたり、リンクをクリックしたり、攻撃者が指示するタスクを実行したりする可能性がはるかに高くなります。
「ランダムで知らないアドレスからのメールとは異なり、上司から送られてきたメールであれば、被害者はそれを正当なものだと信じる可能性が高くなります」とカレンバー氏は述べた。「組織内の既知の従業員のメールから送られてきたというだけで、銀行振込や請求書の支払いを偽って要求する手口が見受けられるケースも確認されています。」
報告書ではまた、次のようなことも判明しました。
- 攻撃者がメールではなくテキストメッセージを使って被害者を誘い込むスミッシング攻撃は、2021年に米国で2倍以上に増加しました。回答者の54%が仕事で個人の携帯電話を使用していると明らかにしていることを考えると、CISOは注意を払う必要があります。
- 電話を介した攻撃が増加しています。サイバー犯罪者が被害者に直接電話をかけ、偽のカスタマーサービス番号に電話をかけさせ、コンピューターへのリモートアクセスを提供させたり、マルウェアをダウンロードさせたりしようとするものです。2021年には、毎日10万件以上の電話による攻撃が試みられました。
- 2021年はランサムウェアにとって顕著な年となり、FBIには649件の攻撃が報告された。
- マネージャーや経営幹部などの高い権限を持つユーザーは、組織内のユーザー全体のわずか 10% を占めるに過ぎませんが、攻撃リスクはほぼ 50% を占めています。
- 毎月、80% 以上の企業がサプライヤー アカウントの侵害による攻撃を受けています。
- Proofpointが監視するクラウドテナントの90%以上が毎月標的となり、そのうち4分の1がハッキングに成功しました。2021年には、クラウドテナントの63%が侵害に成功しており、クラウドアカウントの侵害が脅威環境において重要かつ恒久的な存在となっていることを示しています。
- 脅威アクターは、MicrosoftやGoogleの正規のクラウドサービスやメールサービスを武器として利用し、メッセージの正当性を高めています。MicrosoftがActive Directory、Officeマクロ、PowerShellなどのツールの脆弱性に対処していないため、被害者が誤ってリンクをクリックしたり添付ファイルを開いたりするだけで、脅威アクターはこれらのシステムを容易に侵害することができてしまいます。
- サイバー犯罪者が不満を抱える従業員を積極的に採用しているため、組織内部からの脅威は増大しています。ランサムウェア集団「Demonware」は、利益の一部と引き換えに、従業員に自身のマシンをランサムウェアに感染させようとしました。
- 現在、電子メール内の悪意のあるリンクは、悪意のある添付ファイルよりも 3 ~ 4 倍多く見られます。
レポートについて
このレポートは、サイバーセキュリティ分野における最大級のデータセットの一つである、数兆点のデータポイントグラフに基づいています。Proofpointは毎日、26億通以上のメールメッセージ、490億件のURL、19億件の添付ファイル、2,820万件のクラウドアカウント、17億件のモバイルメッセージなどを分析しています。
