2024年、フィッシング攻撃はさらに悪質になる

個人や企業を狙う脅威の種類は増加しています。

フィッシングは最も蔓延し、被害をもたらす脅威の一つであり、サイバー攻撃の3分の1 2024年後半にはフィッシング攻撃が前年比で202%ユーザーは、セキュリティ防御を回避できる高度なフィッシング メッセージを週に少なくとも 1 回受信しています。以下は、フィッシングの脅威がどのように成長し、複雑化してきたかを示す、2024 年の注目すべき例です。組織は、これらの例を詳しく調べて、2025 年に向けた防御を準備する必要があります。

1. フィッシングに利用されるモバイルページの難読化の加速

Googleが独自に開発したAMP URLコンテンツの多いウェブサイトのユーザーエクスペリエンスとパフォーマンスを向上させるために、脅威アクターは搾取するこの機能により、悪意のある URL が隠され、電子メールのセキュリティ防御を回避できます。正当なドメインを使用し、これらの URL に複数のリダイレクト レイヤーを追加することで、攻撃者は URL の実際の宛先を隠し、URL スキャナーをすり抜けて検出されることなく通過できます。これらのセキュリティ ツールは、表示されているドメインの評判を確認することのみを目的として設計されているためです。攻撃者は、ユーザーが URL リンクをクリックする前にマウスを移動させる傾向があることを知っており、この難読化方法により、信頼できるドメインの URL をクリックしているとユーザーを騙すことができます。

2. フィッシング攻撃の標的となったユーチューバー

ほとんどサイバー攻撃の動機は金銭的なものである。したがって、サイバー犯罪者が裕福なYouTubeインフルエンサーをターゲットにするのは驚くことではない。 クラウドSEK脅威アクターは、ブランドのプロモーション依頼やコラボレーション契約を口実にユーチューバーに連絡を取っています。彼らは信頼できるブランドになりすまし、契約書や販促資料に偽装したマルウェアを仕込んだファイルを配信し、OneDrive などのクラウド プラットフォームでホストします。このような悪意のある添付ファイルが被害者のマシンにダウンロードされて開かれると、マルウェアがインストールされ、財務情報、知的財産、ログイン認証情報などの機密データが盗まれます。

3. フィッシング詐欺師が小売業者に対するBEC攻撃を強化

いくつかの情報源によると34億フィッシングメールは毎日送信されています。ビジネスメール詐欺（BEC）攻撃は、企業に1件あたり約500万ドルの損害を与えています。事件そのような事件の一つでは、ペプコグループのハンガリー事業部は、攻撃者がメールアドレスを偽造して上級幹部になりすましたBEC攻撃の標的となった。メールには、受信者が送信者の権限を確認せずに1550万ユーロを送金するよう促す説得力のある文言が含まれていた。BEC攻撃は、規模、収益、業界を問わず、あらゆる企業に影響を与える可能性があるが、 研究収益の高い組織は、収益の低い企業よりも BEC 攻撃のリスクが高いことが示されています。BEC 攻撃の発生率は小売業で最も高くなっています。

4. AIによる死亡記事詐欺が増加

研究者らはセキュアワークス最近亡くなった人に関する情報を探している個人を狙ったソーシャル エンジニアリング詐欺に遭遇しました。この詐欺では、偽の死亡記事を詐欺 Web サイトで公開し、SEO ポイズニング テクニックを使用してこれらのサイトへのトラフィックを誘導します。攻撃者は AI 技術を使用して、短い追悼文から抽出した事実から長い追悼文を作成します。その目的は、ユーザーを悪意のあるサイトにリダイレクトし、アドウェア、インフォスティーラー、その他の悪意のあるプログラムにさらすことです。

5. 請求書メールのスレッドで添付ファイルが乗っ取られる

研究者らはIBMヨーロッパ全域の金融、テクノロジー、製造、メディア、eコマース組織に影響を及ぼす新しい種類のフィッシング攻撃が検出されました。攻撃は、侵害された電子メール認証情報を使用して盗まれた、または乗っ取られた本物の請求書通知を悪意のある人物が送信することから始まります。これらの電子メールが元の電子メールと異なるのは、電子メールのフィルタリングとサンドボックス検査を回避するためにパスワードで保護された、ZIP 形式の添付ファイルが含まれていることです。ファイル名は、より本物らしく見えるように、ターゲット組織に合わせて調整されています。受信者がファイルを解凍すると、インフォスティーラー マルウェア (StrelaStealer など) が被害者のマシンに感染し、MS Outlook または Mozilla Thunderbird に保存されている電子メール認証情報を盗みます。

重要なポイント

フィッシングに対する完全な保護を提供できるツールは世界中に存在しません。フィッシングを軽減するには、組織はセキュリティの基本に重点を置く必要があります。

1. セキュリティ意識の高い従業員を育成:定期的なトレーニング、意識啓発演習、フィッシング シミュレーション テストを通じて、サイバーセキュリティに対して責任を持ち、警戒心を持つ従業員を育成します。

2. ソフトウェアを定期的に更新する:攻撃者が新しい脆弱性や既存の脆弱性を悪用するのを防ぐために、システム、ハードウェア、アプリケーション、ソフトウェアが最新であることを確認します。

3. ゼロトラストの考え方を採用する:会社のリソースやデータへのアクセスを許可する前に、ユーザーの ID を確認することに重点を置いたゼロトラスト (決して信頼せず、常に検証する) ツールとプロセスを実装します。
   
4. スタッフの権限強化:パスワード マネージャーなどのセキュリティ ツールを従業員に提供して、パスワードの再利用などの脅威に遭わないようにします。スタッフがセキュリティ チームに連絡してフィッシング メッセージを報告しやすいようにします。明確で透明性のあるセキュリティ ポリシー、すべきこと、すべきでないことなどを確立して周知します。

5. 強力な電子メール セキュリティを導入する:異常な送信者アドレス、悪意のある URL やドメインなどの疑わしいパターンを検出できる高度な電子メール フィルター (できれば AI ベース) を採用します。

上で説明したフィッシングの手法は、個人や組織を狙う脅威がますます巧妙かつ多様化していることを浮き彫りにしています。これらの新しい手法は、警戒を強化し、予防的なセキュリティ対策を講じる必要があることを示しています。セキュリティ意識の高い従業員を育成し、ツールで従業員を支援し、ゼロ トラストを採用し、ソフトウェアを定期的に更新し、強力な電子メール セキュリティを導入することで、今後のフィッシング攻撃の波に対する重要な防御策を実現できます。