Proofpointの「2022年ソーシャルエンジニアリングレポート」によると、多くのサイバー犯罪者がハッキング手法の一環として、予期せぬ行動をとっていることが明らかになりました。脅威アクターは、通常、被害者と接触したり、正当な技術を偽装して攻撃を実行しようとしたりするとは考えられていません。しかし、Proofpointは、多くのハッカーが個人を標的にする際に、侵入口を得るためにこれらの手法のいくつかを利用していることを発見しました。
「防御側の最善の努力にもかかわらず、サイバー犯罪者は企業を欺き、脅迫し、毎年数十億ドルもの身代金を要求し続けています」と、Proofpointの脅威調査・検知担当バイスプレジデント、シェロッド・デグリッポ氏は述べています。「脅威アクターとの闘いは絶えず進化しており、彼らはエンドユーザーからのクリック獲得のために戦術を変え続けています。」
ハッカーがこれまでの疑惑を覆す
Proofpoint は、脅威の攻撃者が攻撃を実行するためにどのような方法を採用するか、また、そのような攻撃を実行するためにどのような方法が使用されるかを詳細に説明したいくつかの仮定を前提としてレポートを作成しました。
脅威アクターは攻撃を実行する前に信頼関係の構築に時間を費やさない
セキュリティ企業が最初に立てた仮説は、サイバー犯罪者が多数の潜在的な被害者に悪意のあるリンクを送信しているだけというものでした。しかし、これは誤りであることが判明しました。Proofpointが分析した多くの事例では、ルアーとタスクを悪用したビジネスメール詐欺(BEC)は、身元不明の送信元からの質問などのやり取りから始まりました。潜在的な被害者が返信した場合、ギフトカード詐欺、給与詐欺、請求書詐欺などの詐欺に引っかかる可能性が高くなります。
Proofpointはまた、会話を始めようとする脅威アクターは、標的が犯罪者との親密さを確信しているため、被害者から資金を受け取る可能性が高くなることも発見しました。このようにサイバー犯罪者と関わることで、組織や個人は多額の金銭的損失を被る可能性があります。
ハッカーはGoogleやMicrosoftのような正当なサービスを偽装することはないだろう
多くのユーザーは、信頼できるソースから発信されたコンテンツは正当なものだと考えがちです。しかし、Proofpointは、サイバー犯罪者がクラウドストレージプロバイダーやコンテンツ配信ネットワークなどのサービスを悪用し、潜在的な被害者にマルウェアを拡散させていることを発見しました。同社によると、2021年に無防備なユーザーを狙った脅威アクターの攻撃において、最も頻繁に悪用されたのはGoogle関連のURLでした。
「セキュリティを重視する意思決定者は、物理インフラとクラウドベースのインフラの防御強化を優先してきました。その結果、人間が侵入の最も頼りになる入り口となってしまったのです」とデグリッポ氏は述べた。「その結果、人間の行動や関心を悪用するための多種多様なコンテンツや手法が開発され続けています。」
脅迫は電話ではなくコンピュータにのみ関係する
正規の情報源を偽装する場合と同様に、メールベースの脅威はノートパソコンやPCにのみ存在するという通説がありますが、これも誤りです。昨年、Proofpointは、脅威アクターがコールセンターを狙ったメール攻撃を行っていることを発見しました。この手法では、標的はメールに記載された電話番号から偽のコールセンターに連絡し、脅威アクター自身と接触します。サイバー犯罪者は通常、無料のリモートアシスタンスソフトウェアを使用するか、マルウェアが添付された文書を送信することで、この詐欺を実行します。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
犯罪者は電子メールの会話に気づかず、既存のスレッドは安全です
脅威アクターが用いるもう一つの手法は、スレッドハイジャックまたは会話ハイジャックです。この手法では、サイバー犯罪者は既存の会話に悪意のあるリンクやランサムウェアを返信し、標的がリンクやファイルを詳しく調べないことを狙います。この種の攻撃を実行するために、攻撃者はフィッシングやマルウェアを通じてユーザーの受信トレイにアクセスし、その後、メールチェーンにアクセスして有害なリンクやソフトウェアを配布します。
脅威アクターはビジネス関連のコンテンツのみを攻撃に利用します
本レポートで最終的に覆された仮説は、脅威アクターは時宜を得た社会問題を利用して被害者の反応を引き出そうとはしないというものでした。しかし、ウクライナ戦争を自らの利益のために利用した多くの敵対者の例に見られるように、これは事実ではないことが証明されました。Proofpointは、花やランジェリーといったバレンタインデーをテーマにした悪意のあるメールが潜在的な被害者を惹きつけるためにユーザーに送信されたことを複数確認しており、ニュースだけが悪用されているわけではないことが分かります。
メールのベストプラクティスに関しては、常に警戒を怠らないことが重要です。ゼロトラストアーキテクチャを採用し、既知のソースからのリンクをクリックしたりファイルをダウンロードしたりする際にも細心の注意を払うことで、ユーザー自身や企業が次の大規模なランサムウェアやマルウェア攻撃の被害に遭うことを防ぐことができます。
