- 2023/11/02
- セキュリティ
企業の「特定の役職」を狙ったソーシャルエンジニアリングに備えるために
Post by : Tomonori Sawamura
巧妙なソーシャルエンジニアリングの手口を用いた攻撃が頻発
近年のサイバー攻撃では、システムが抱える脆弱性を悪用して侵入を図る手口が多く用いられます。しかし中には“人”の脆弱性を巧みに突いてシステムへの侵入を図ったり、あるいは金銭を直接窃取しようと試みる手口も多く見られます。
特に近年被害が多発しているのが、「ビジネスメール詐欺(BEC:Business Email Compromise)です。IPAが20223年8月に公表した「サイバー情報共有イニシアティブ(J-CSIP) 運用状況 [2023年4月~6月]」では、実際に報告のあったビジネスメール詐欺の手口として以下のようなケースが紹介されています。
とある企業A社の海外関連会社の社長に対して、A社の会長および専務を名乗る人物から偽のメールと電話がありました。メールの内容は「機密性の高いプロジェクトへの協力を依頼したい」という内容であり、実在する会計・法律事務所の名前も記載されていました。
IPAによるとほぼ同一のものが複数観測されていることから一連の攻撃のうちの一つだと考えられます。また発信元電話番号はA社の代表番号に偽装され、電話も専務の声色を模倣するなど、かなり用意周到な準備をしていたことがうかがえます。
幸いなことに、海外関連会社の社長が電話の相手が専務本人でないことに気付いて事なきを得ましたが、同様の手口は他の企業に対しても行われていたようです。
また別の企業B社では、海外取引先の経理担当者に対して攻撃者がB社の担当者になりすまして、支払先の口座を変更する旨の偽のメールが送られました。このケースにおいても経理担当者が不審に思い、B社の担当者本人に確認をとったところ偽のメールだということが発覚しました。
しかしこのケースでも、偽メールの中に過去にやりとりされた正規メールの内容が引用されているなど、極めて巧妙な偽装が施されていました。
さらにクラウド型ID管理製品のベンダーとして世界中で多くのユーザーを抱える米Okta社は2023年9月、自社製品のユーザーに対してセキュリティに関する注意喚起を行いました。その内容によると、Oktaの製品を使っている複数の米国企業のITサービスデスクに対して、攻撃者が正規ユーザーになりすまして「多要素認証を無効化してほしい」との依頼を行ったとのことです。
もしなりすましに気づかずに多要素認証を無効化してしまうと、攻撃者が弱体化したOktaの認証を突破してシステムに侵入し、特権昇格やマルウェアのダウンロードなどを通じて情報の窃取を許してしまう恐れがありました。
標的になりやすい「特定の役職」にはより一層の注意喚起を
このように“人”の脆弱性を巧みに突く攻撃手法は「ソーシャルエンジニアリング」と呼ばれ、昔からさまざまな手口が用いられてきました。中でも近年の攻撃手法は、冒頭で紹介したビジネスメール詐欺に代表されるように極めて巧妙化しており、見破るのが極めて難しくなっています。
攻撃者はあらかじめ攻撃対象の企業のシステムに侵入し、長期間潜伏しながら内部でやりとりされるメールなどを盗聴し、その内容を引用していかにも本物の業務連絡であるかのようなメールを偽装します。また冒頭で紹介した事例ではメールだけでなく電話も併用されていましたが、近年ではディープフェイク技術を用いて声色を偽装する手口も用いられているとの情報もあり、まずます偽装であることを見抜きにくくなっています。
そのため企業のセキュリティ担当者は、これら近年のソーシャルエンジニアリングの高度な手法を知った上で、自社の従業員が同様の手口に引っかからないよう教育・啓蒙施策をより一層強化する必要があります。場合によっては、本稿で紹介したような具体的な事例や攻撃手法を具体的に示しながら注意喚起を行うことで、より高い効果が期待できます。
また本稿で紹介した事例は、「海外関連会社の社長」「経理担当者」「ITヘルプデスクの担当者」といったように、特定の役職をターゲットにしています。そのため、特にターゲットになりやすいこれらの役職に就いている人々に対しては、一般従業員よりさらに高い注意喚起を促す必要があるでしょう。特に企業の経営陣や経理担当者の中には、ITやサイバーセキュリティのリテラシーが決して高くない人々も含まれているため、リスクをきちんと理解してもらうためにより一層の工夫が必要になるかもしれません。
サイバーリーズンでは、サイバーセキュリティ学習者向けの専用ページ「サイバーリーズン・セキュリティ・アカデミー」をWebサイトにて公開しています。サイバーセキュリティ教育を通じて経営者をはじめとする企業・組織全体でのサイバーセキュリティの態勢強化、サイバーセキュリティ対策の重要性についての意識と理解の向上にご活用ください。
ただしいくら教育や注意喚起に力を入れても、巧妙なソーシャルエンジニアリングの手口を使った詐欺やシステム侵入、マルウェア感染を100%完璧に防ぐことは困難です。そのため、万が一リスクが顕在化してしまった場合に備え、脅威をいち早く検知して素早く対処できる手立てを講じておくことも重要です。
弊社ではこうしたニーズにお応えするために、国内シェアNo,1のEDR製品「Cybereason EDR」や、これを使った脅威監視を代行するマネージドサービス「Cybereason MDR」などを提供しており、多くのお客様に高く評価いただいています。こうした製品・サービスをうまく用いれば、サイバー攻撃による直接の被害を防ぐだけでなく、ソーシャルエンジニアリング攻撃の準備段階としての盗聴・情報窃取活動もブロックできるため、ぜひ有効活用されることをお勧めします。
【グローバル調査結果】組織が抱えるサイバーリスク〜休日の間もランサムウェア攻撃の手は緩まない〜
ランサムウェアは日々脅威となっており、大規模な攻撃は週末や休日にしかけられることが多くなっています。
本レポートでは、休日や週末にランサムウェアの攻撃を受けた影響や今後のさまざまな対策についての洞察を得るのに最適な資料となっています。加えて、ランサムウェア攻撃を防御する準備が整えられるよう、リスクに関する洞察と緩和策に関するガイダンスを提供しています。
https://www.cybereason.co.jp/product-documents/survey-report/7253/
