信頼が通貨であると同時に、脆弱性にもなる、ますますオンライン化が進む世界では、脅威アクターは人々の行動を操作し、人の役に立ちたいという傾向を利用しようとします。このインフォグラフィックでは、脅威アクターがプロフェッショナルな ID を何よりも重視する理由を含め、ソーシャル エンジニアリングについて詳しくご紹介します。また、彼らが目的を達成するために人間の性質を操る方法のいくつかをご紹介します。
信頼の経済からの罠: ソーシャル エンジニアリング詐欺
ソーシャル エンジニアリングとフィッシングの犯罪的な魅力
フィッシング攻撃の約 90 パーセント1は、ソーシャル エンジニアリングという手口で、被害者 (通常はメールを介して) を巧みに操り、機密情報を漏らしたり、悪意のあるリンクをクリックさせたり、悪意のあるファイルを開かせたりするものです。フィッシング攻撃は、攻撃者にとって費用対効果が高く、防止策を回避するための適応力があり、高い成功率があります。
人間に行動を起こさせる手段
ソーシャル エンジニアリングのテクニックは、攻撃者が自信と説得力を駆使して、標的に普段の振る舞いと違う行動を取らせる傾向があります。有効な手段は、緊急性、感情、習慣の 3 つです。2 緊急性 一刻を争うチャンスや、重要な期限を逃したい人はいません。この切迫感によって、理性的な標的が個人情報を渡すように仕向けられることはよくある策略です。
例: 偽の緊急性
"フィッシング メールの特徴は、何らかの時間枠が与えられていることです。彼らは、短い時間で決断するよう迫ってくるのです。"
Jack Mott – Microsoft 脅威インテリジェンス
感情
感情を操作することで、サイバー攻撃者は優位に立つことができます。人間は感情が高ぶった状態、特に恐怖、罪悪感、怒りが関与している場合、危険な行動を取る可能性が高くなるからです。
例: 感情に訴えて操る
"私が今まで見た中で最も効果的な誘い文句は、あなたの配偶者から離婚届の作成を請け負いました。リンクをクリックしてコピーをダウンロードしてください、という非常に短いメールでした。"
Sherrod DeGrippo – Microsoft 脅威インテリジェンス
習慣
犯罪者は行動に関する鋭い観察者であり、人々が "自己認識なし" で余計なことを考えずに行っている習慣や定型作業に特別な注意を払っています。
例: 一般的な習慣
"脅威アクターは、ビジネスのリズムに適応します。彼らは、私たちが通常受け取る文脈で意味のある誘い文句を展開するのが得意なのです。"
Jack Mott – Microsoft 脅威インテリジェンス
従業員の個人的なペルソナと仕事上のペルソナの境界は、時に一点に集束することがあります。従業員は、仕事で使っている個人的なアカウントに仕事用のメールを使うことがあります。脅威アクターはそれを利用して、次のようなプログラムの 1 つであるかのように見せかけて接触することで、従業員の企業情報へのアクセス権を得ようとすることがあります。
"メールによるフィッシング詐欺では、サイバー犯罪者は企業のメール アドレスを "ルアー" として確認します。個人の Web メール アドレスに時間を割く価値はありません。仕事用のアドレスの方が価値があるため、彼らはより多くのリソースを投入してハンズオン キーボード攻撃を実施し、これらのアカウント向けの攻撃をカスタマイズしています。"
Jack Mott – Microsoft 脅威インテリジェンス
"長い時間をかける詐欺"
ソーシャル エンジニアリング攻撃は、一般的には短時間で行われるものではありません。ソーシャル エンジニアは、調査から始まる手間のかかるテクニックを使って、時間をかけて被害者との信頼関係を築く傾向があります。このタイプの操作のサイクルは、次のようなものです。
- 調査: エンジニアは標的を特定し、侵入できる可能性のあるポイントやセキュリティ プロトコルなどの背景情報を収集します。
- 潜入: エンジニアは標的との信頼関係を築くことに集中します。標的にとって魅力的なストーリーを作り出し、やり取りをコントロールして、エンジニアに有利な方向へと誘導します。
- 悪用: ソーシャル エンジニアは時間をかけて標的の情報を入手します。通常、標的はこの情報を自ら進んで渡します。エンジニアはこれを利用することで、さらに多くの機密情報にアクセスすることができます。
- 解除: ソーシャル エンジニアは、やりとりを自然に終わらせます。熟練したエンジニアは、標的に不審感を抱かせることなく、これをやりとげます。
BEC 攻撃は、 ソーシャル エンジニアリング と詐欺の技術に重点を置いている点で、サイバー犯罪業界の中でも際立った存在です。BEC 攻撃が成功すると、組織には年間数億米国ドルの損害が発生します。2022 年、連邦捜査局 (FBI) Internet Crime Complaint Center は、21,832 件の BEC 苦情に対する 27 億米国ドル以上の調整済み損失を記録しました。4
BEC の主な標的は、経営幹部やその他のシニア リーダー、財務マネージャーや、社会保障番号、納税申告書、その他の個人を特定できる情報などの従業員記録にアクセスできる人事スタッフです。よく知らないメールの要求をあまり確認しない新入社員も狙われています。
ほぼすべての形態の BEC 攻撃が増加しています。一般的な BEC 攻撃の種類は次のとおりです。5
- ダイレクト メール詐欺 (DEC): 侵害されたメール アカウントを使用して社内またはサードパーティの経理担当者をソーシャル エンジニアに仕立て、攻撃者の銀行口座に資金を送金したり、既存の口座の支払情報を変更したりします。
- ベンダー メール詐欺 (VEC): 支払い関連のメールを乗っ取り、会社の従業員になりすまして、既存のサプライヤーとの関係をソーシャル エンジニアリングで構築し、未払いの支払いを不正な銀行口座に振り向けるようサプライヤーに信じさせます。
- 架空請求詐欺: 集団ソーシャル エンジニアリング詐欺で、有名なビジネス ブランドを悪用し、企業に偽の請求書の支払いを行わせます。
- 弁護士なりすまし: 大手の有名法律事務所との信頼関係を悪用し、小規模企業やスタートアップ企業の経営陣からの信用を高め、特に新規株式公開のような重要なイベントの前に、未払いの請求書の支払いを完了させます。支払い条件の合意に達すると、不正な銀行口座に支払いを振り向けます。
Octo Tempest
Octo Tempest は、英語を母国語とする脅威アクターの金銭的動機に基づく集団で、 敵対的中間者 (AiTM) テクニック、ソーシャル エンジニアリング、SIM スワッピング機能を顕著に特徴とする広範なキャンペーンを展開することで知られています。
Octo Tempest は、英語を母国語とする脅威アクターの金銭的動機に基づく集団で、 敵対的中間者 (AiTM) テクニック、ソーシャル エンジニアリング、SIM スワッピング機能を顕著に特徴とする広範なキャンペーンを展開することで知られています。
Diamond Sleet
2023 年 8 月、 Diamond Sleet は、ドイツのソフトウェア プロバイダーである JetBrains のソフトウェア サプライ チェーンに侵入し、ソフトウェアのビルド、テスト、デプロイ プロセス用のサーバーを侵害しました。Diamond Sleet は過去にもビルド環境への侵入に成功しているため、Microsoft は、この活動は影響を受ける組織にとって特に高いリスクをもたらすものであると判断しています。
2023 年 8 月、 Diamond Sleet は、ドイツのソフトウェア プロバイダーである JetBrains のソフトウェア サプライ チェーンに侵入し、ソフトウェアのビルド、テスト、デプロイ プロセス用のサーバーを侵害しました。Diamond Sleet は過去にもビルド環境への侵入に成功しているため、Microsoft は、この活動は影響を受ける組織にとって特に高いリスクをもたらすものであると判断しています。
Sangria Tempest6
FIN としても知られる Sangria Tempest は、レストラン業界を標的に支払いカードのデータを盗むことで知られています。彼らの最も効果的なルアーのひとつに、食中毒の告発があり、悪意のある添付ファイルを開くとその詳細を見ることができるというものです。
FIN としても知られる Sangria Tempest は、レストラン業界を標的に支払いカードのデータを盗むことで知られています。彼らの最も効果的なルアーのひとつに、食中毒の告発があり、悪意のある添付ファイルを開くとその詳細を見ることができるというものです。
主に東ヨーロッパ系で構成される Sangria Tempest は、アンダーグラウンド フォーラムを利用して英語のネイティブ スピーカーをリクルートしており、彼らはメールによるおとりの配信で店舗に電話をかける方法についてのトレーニングを受けています。このグループは、そのプロセスを通じて数千万件の決済カード データを盗んでいます。
Midnight Blizzard
Midnight Blizzard はロシアを拠点とする脅威アクターで、主に米国とヨーロッパの政府、外交機関、非政府組織 (NGO)、IT サービス プロバイダーを標的としていることが知られています。
Midnight Blizzard はロシアを拠点とする脅威アクターで、主に米国とヨーロッパの政府、外交機関、非政府組織 (NGO)、IT サービス プロバイダーを標的としていることが知られています。
Midnight Blizzard は、Teams メッセージを活用してルアーを送信し、ユーザーを惹きつけ、多要素認証 (MFA) のプロンプトの承認を引き出すことで、標的の組織から資格情報を盗み出そうとします。
ご存知ですか?
Microsoft の脅威アクターの命名戦略は、天候に関連するテーマからヒントを得た脅威アクターの新しい命名分類法にシフトしています。
Microsoft の脅威アクターの命名戦略は、天候に関連するテーマからヒントを得た脅威アクターの新しい命名分類法にシフトしています。
ソーシャル エンジニアリング攻撃は巧妙ですが、それを防ぐためにできることもあります。7 プライバシーとセキュリティについてスマートになれば、攻撃者を打ち負かすことができます。
まず、個人アカウントは個人的なものにし、仕事のメールや仕事関連のタスクと混同しないようユーザーに指導しましょう。
また、MFA の使用を徹底しましょう。ソーシャル エンジニアは通常、ログイン資格情報のような情報を探しています。MFA を有効にすれば、たとえ攻撃者があなたのユーザー名とパスワードを入手したとしても、あなたのアカウントや個人情報にアクセスすることはできなくなります。8
不審な送信元からのメールや添付ファイルを開かないでください。友人から緊急にクリックする必要のあると書いてあるリンクが送られてきた場合、そのメッセージが本当に友人からのものかどうかを友人に確認しましょう。クリックする前に一度立ち止まり、送信者が本人であるかどうかを確認しましょう。
いったん止まって確認する
条件の良すぎるオファーには注意しましょう。応募していない懸賞に当たることはありませんし、外国の王族があなたに大金を残すこともありません。あまりにも魅力的なオファーだと感じたら、そのオファーが合法的なものなのか、それとも罠なのかを判断するために、検索してみましょう。
オンラインで情報を共有しすぎないようにしましょう。ソーシャル エンジニアが詐欺を成功させるには、その標的に信用される必要があります。ソーシャル エンジニアが、あなたのソーシャル メディアのプロフィールからあなたの個人情報を見つけることができれば、それを使って詐欺をより合法的なものに見せかけることができます。
コンピューターやデバイスを保護しましょう。ウイルス対策ソフトウェア、ファイアウォール、メール フィルターを使いましょう。万が一、脅威があなたのデバイスに侵入しても、あなたの情報を安全に守るための保護になります。
疑わしい電話やメールを受け取ったら、とにかく落ち着いて確認することが大事です。人はあまりに早く行動するとミスを犯すので、このような状況ですぐに反応する必要はないことを従業員に思い出させることが重要です。"
Jack Mott – Microsoft 脅威インテリジェンス
次のビデオをご覧になり、組織の保護にお役立てください。 信頼のリスク: ソーシャル エンジニアリングの脅威とサイバー防衛。
- [2]
このセクションのコンテンツの出典元: https://go.microsoft.com/fwlink/?linkid=2263229
- [6]
Waymon Ho、27:32 あたり、https://go.microsoft.com/fwlink/?linkid=2263333
- [7]
注: コンテンツの出典元: https://go.microsoft.com/fwlink/?linkid=2263229