サイバー詐欺のシーズンがやってきました。ホリデーシーズンが近づくにつれ、敵は、人々の寛大さやお休み気分につけ込もうとします。用心を怠ってはなりません。
このシーズンの傾向を突き止め、分析するにはまだ早いですが、プルーフポイントでは一足先に、前回のホリデーシーズンで試された確実な戦術と共に、攻撃者の創造性とおとりにおいて新たな手法や増えつつある手法をいくつか確認しています。
ここでは、生成AIで高度化するサポート詐欺(TOAD)から、発送通知を利用した多要素認証(MFA)回避にいたるまで、今年のホリデーシーズン詐欺に関する5つの予測をご紹介します。これらは、今年の冬の脅威状況において進化すると思われる手法および傾向です。
1.生成AIにより脅威検知はより困難に
昨年のホリデーシーズン以来、爆発的に普及してきたものがあります。生成AIと呼ばれるものです。この新しいテクノロジーにより、うますぎる話で人をだますメールの作成方法が変わるかもしれません。偽の発送通知メールは常に攻撃者のお気に入りで、ホリデーシーズンに必ず急増します。注文した商品や送った小包が配送できないという問題は誰もが回避したいと思うからです。
昨年、ホリデーシーズンの多くの配送フィッシング攻撃において、文法の誤りや自然でない文体など、標準的な見分け方が有効でした。これらは一目で気づくことができるものです。しかし、今年は、メールやテキストメッセージに生成AIを使用する攻撃者が増加することが予想されます。
そのため、ホリデーシーズンの配送メールが詐欺であるか判断するには、より入念な調査が必要となります。メールを注意深く読みながら、以下の点を明らかにしてみましょう。
- メッセージは不特定な相手に呼びかけているか、それとも自分一人に名指しで呼びかけているか?
- 不要であるはずの機密情報を求めているか?
- 送信者の表示名はメールアドレスに一致するか?(これは、セキュリティ意識向上トレーニングで学習する、セーフティ チェックリスト項目です。)
- 荷物の受け取り時に料金を支払うよう求めているか?(注:この場合、その配送が正規のものであると確認が取れない限り、受け取りを拒否することが賢明です。)
2.TOADはAIによりさらに手強くなる
攻撃者が被害者を電話で誘導し、安全でない行動を取らせるTOAD(日本では“サポート詐欺”として知られる電話を用いた攻撃)は、脅威の一形態として定着しています。生成AIで作成することにより、ホリデーシーズンに使用されるTOAD攻撃は、より信じられやすくなる可能性があります。
あなたのクレジットカードでの高額なギフトの購入を阻止したいですか?あるいは、破格の安さで旅行できるチャンスをつかみたいですか?それでしたら、こちらの(偽の)コールセンターにご連絡ください!AIで生成されたメールが正規の企業に完璧になりすましている場合、被害者が指示された電話番号にかける可能性は高くなります。
生成AIはまた、ホリデーシーズン詐欺のターゲットを広げる役割を果たしています。たとえば、毎年、クリスマスや年末年始には、英語圏を標的にしたバケーション詐欺が発生します。その一方で、中国、韓国、ベトナム、香港などでは旧正月を大いに祝い、その期間には旅行も大量に発生します。このような人々を標的にするには、文化的な知識や言語スキルが必須でしたが、今や無料で使えるAIツールがあります。攻撃者はこれを利用して、どのようなエサが効果的であるかを迅速に探り、その地域に特化した、魅力的なホリデーシーズンのおとりを作成すると思われます。
幸い、生成AIは、偽コールセンターの対話能力を向上させるまでには至っていないようです。ですから、TOAD番号にかけて話をしてみれば、何か変だ、と思うでしょう。たとえば、「オペレーター」が以下の場合は注意が必要です。
- 明らかに台本を読んでいる。
- 言うとおりにするようせかす。
- セキュリティ意識向上トレーニングで示された、コールセンター詐欺が頻発する場所とされる地域のアクセントで話している。
3.MFAバイパス攻撃がさらに頻繁に起こる
昨年、MFAバイパス攻撃が大きく増加し、この手法を使用したおとりが今も増え続けています。侵害されたログインページ、あるいは偽のログインページで、被害者が多要素認証のコードを入力すると、攻撃者はそれを傍受して、リアルタイムでアカウント資格情報を盗みます。
MFAバイパス攻撃は引き続き脅威トレンドであるため、今年のホリデーシーズンのおとりにもこの手法が使用されると予測されます。ホリデーシーズン中は、大量の注文確認メッセージや発送通知メッセージが、さまざまな企業から送信されます。受取人は、到着が待ち遠しい、あるいは予定どおりに着くか心配になると、UPS、FedEx、DHL、ヤマト、佐川などの宅配便アカウントに、より頻繁にログインしたくなるでしょう。
攻撃者は、こうして増加するトラフィックや消費者の懸念につけ込むでしょう。攻撃者は、正規のメールと見分けがつかない、ホリデーシーズン調のフィッシングメールをデザインするでしょう。その文面は、正規の通知を模倣したものにするでしょう。これにより、MFA認証情報を傍受して盗むための、侵害されたアカウント ログイン ページ、あるいは本物そっくりの偽Webサイトへと、消費者を簡単に誘導することができます。
MFA認証情報の窃取を防ぐには、身に覚えのない注文確認メッセージや配送メッセージは無視することが最善です。不審なメールやテキストメッセージにあるリンクは、クリックしないでください。注文または配送について確認したい場合は、Webサイトのアドレスを入力する、または確認済みの連絡先番号に連絡することにより、正規のソースに直接アクセスしてください。
4.ギフトカード詐欺は衰えない
ギフトカードはとても便利で、人気があります。これは、サイバー犯罪者にとっても同様です。ホリデーシーズンにギフトカード詐欺が増加する傾向は、今年も衰えそうにありません。これはビジネスメール詐欺(BEC)の一種です。そして、攻撃者が、従業員にホリデーボーナスを支給しようとする気前のいい経営幹部を装う、ソーシャル エンジニアリング キャンペーンです。
このホリデー詐欺はしばしば、職場で始まります。短文のテキストメッセージやメールでまずどの程度引っかかりやすそうかテストします。続くメッセージでは、会社の資金を使用して、あるいは立て替えで、高額のギフトカードを購入するよう依頼します。最終的には、ターゲットをだましてギフトカードの番号やPINを攻撃者に送らせます。これで、攻撃者はそのギフトカードを使えるようになります。
ギフトカード詐欺は、個人的関係や仕事上の関係での信頼を利用することが多いため、見破るのが困難です。また、被害者の感情にもつけ込んでいます。被害者は、お偉いさんが自分に頼ってきたことでいい気分になるとともに、他者を幸せにする善い行いに誇りを感じます。
このホリデーシーズンは、感情に訴えるようなメッセージがあれば、警告とみなして、十分注意してください。上司や役員からそのような依頼メールを受け取った場合は、依頼どおり行動する前に、まず電話あるいは対面で、送信者本人に直接確認してください。
5.善意のお金で私腹を肥やす
サイバー攻撃はしばしば、人の感情につけ込むよう設計されています。ホリデーシーズンの慈善寄付詐欺は、その主たる例です。攻撃者は偽の非営利団体を設立する、または有名な慈善団体を模倣したWebサイトを作成します。そして、慈善フィッシングメールは変わらず効果的であることから、攻撃者は毎年毎年、これを使い続けています。
このホリデーシーズンでは、攻撃者は食糧を贈るための寄付や、冬に避難所を必要とする人々を助けるための寄付といった、なじみのある、心温まる依頼を用いることが予想されます。攻撃者はまた、キャンペーンにひねりを加え、おとりとしてニュースの話題に上るほどのトピックを使用する可能性があります。そのため、人道的状況、自然災害、紛争地帯などを利用した慈善詐欺を仕掛けてくることは、十分予想できます。
ホリデーシーズンにおける慈善詐欺については、メールやテキストメッセージ以外にも注意が必要です。攻撃者は利用できるあらゆるチャネルを使用するからです。電話、ソーシャルメディア、印刷物、紛らわしい広告でも同様の戦術が使用されるでしょう。
なりすましにだまされないための最善の方法は、正規の慈善団体や正式な支援プログラムと、直接やり取りすることです。たとえば、不審なメッセージに記載された寄付のリンクをクリックするのではなく、信頼できるWebアドレスをブラウザに入力して、組織に連絡します。
プルーフポイントの無料キットをご利用ください
ホリデーシーズンの到来と共に、プルーフポイントでは、こうしたホリデーシーズンの詐欺の手法や傾向が登場しているか、攻撃者がどの程度使用しているか、またその影響について確認します。
一方で、組織の従業員がやり取りをしているメッセージや媒体が、セーフリストにあることを確認するにはどうすれば良いのでしょうか?また、従業員が危険なリストにあるものを回避できるようにするには?
従業員が安全を維持するためにできる最善の方法は、セキュリティ意識向上トレーニングを提供することです。プルーフポイントは、安全かつセキュアなWeb閲覧といった重要なテーマに焦点を当てた、無料の2023年サイバーセキュリティ意識向上キットを提供しています。ぜひお役立てください。
