Rapport trimestriel sur les menaces de Proofpoint

Proofpointが「The Human Factor 2019」(人的要因に関するレポート)をリリース: 今年の特徴はパーベイシブ(蔓延する)ソーシャルエンジニアリング

本ブログは、英語版ブログ「https://www.proofpoint.com/us/threat-insight/post/pervasive-social-engineering-characterizes-threat-landscape-proofpoint-releases」の翻訳です。

脅威アクターは、マルウェアのインストール、不正なトランザクションの起動、データの窃取その他の悪意のある活動を行うために、もはや自動化されたエクスプロイトを使ってはいません。その代わりに、人間との対話に依存したソーシャルエンジニアリングの手法を使っており、それを常に改善しています。今やシステムの脆弱性を狙う手法は観測された攻撃の1%未満に過ぎず、残りは善意の人々の好奇心や人への信頼を悪用してクリックやダウンロード、インストール、ファイルオープンを誘い、お金やデータを送らせる「Human Factor(人的要因)」を狙っているのです。

以下は、過去18か月にわたるデータから得られた「2019 Human Factor」に含まれている、Human Factorを脅威アクターが悪用する方法についての主なポイントです。詳細については、こちらからレポート全体をダウンロードしてご覧ください。

攻撃者は人々を標的にしていますが、「VAP」は必ずしも一般に考えられているような人ではありません

「Very Attacked People」(VAP)は、組織にとって重要なリスクです。共有のパブリックアカウントのように外部からアイデンティティを特定されやすい場合にVAPになりやすく、VAPの36%は企業のWebサイト、ソーシャルメディア、出版物など、オンラインでアイデンティティを見つけられる人でした。このように、VAPは必ずしも高い役職の人(CレベルエグゼクティブなどのVIP)という訳ではありません。オンラインでメールアドレスを見つけることのできるエグゼクティブはわずか7%でしたが、VIPでありかつVAPである人については、約23%のメールアドレスが単純なGoogle検索で発見できました。

組織全体を見ると、Attack Index(攻撃の重大性やリスクを測定したインデックス)の平均が最も高いのは、教育、金融、マーケティング/広告業界でした。

ソーシャルエンジニアリングは危険水域に

ソーシャルエンジニアリングは、メールボックスを溢れさせるスパムからビジネスメール詐欺のスキームに至るまで、メール脅威全体にわたってますます洗練され、蔓延しています。多くのソーシャルエンジニアリングの手法は、クラウドアプリケーションのクレデンシャルを取得し、さらなる攻撃を仕掛けるために設計されたフィッシングテンプレートとマルウェアを効果的に配布することに焦点を絞っています。わずか2年前とは対照的に、電子メールを介して配信されるマルウェアは、ランサムウェア攻撃によるシンプルな「破壊と脅迫」ではなく、詐欺によってデータとクレデンシャルを盗むために、組織内で「見つからない足場」を確立することに注力しています。

2018年のすべてのフィッシングスキームのほぼ25%を占めたのは、フィッシングアクターによる一般的なメールクレデンシャルの収集(ハーベスティング)でした。2019年はMicrosoft Office 365フィッシングがトップのスキームになりましたが、これもクレデンシャルの収集が目的です。2018年に最も効果的だったフィッシングスキームは、ダイエットと脳活性化の詐欺である「Brain Food」でした。しかし2019年に入り、クラウドストレージ、DocuSignおよびMicrosoftクラウドサービスフィッシングの有効性は変化しており、一般的なタイプのフィッシングと同等になりつつあります。

なりすまし攻撃にはビジネスメール侵害(BEC)などのスキームが含まれますが、ソーシャルエンジニアリングやさらに効果的な人中心のキャンペーンのためのさまざまなシナリオで使用されるIDディセプションも含まれ、これはますます主流となっています。2018年には、エンジニアリング、自動車、教育業界で最高レベルの詐欺攻撃が行われました。これは、エンジニアリングおよび自動車産業のサプライチェーンの複雑さと、教育業界の高い価値を持つターゲットとユーザーの脆弱性(特に学生)が要因となっている可能性があります。

攻撃経路が増加し、攻撃者はさまざまなプラットフォームでターゲットを絞り込んでいます

ソーシャルエンジニアリングのテーマは、アクターとターゲットの両方によって大きく異なりますが、食べ物、避難、愛、お金は永遠の定番であり、レストランでの食中毒をめぐる訴訟の脅威から、個人を標的とした手荒なセクストーション(性的脅迫)スキームに至るまで、あらゆることが含まれます。

一方で、BECの戦術 - 個人や複数の連絡先との信頼関係を構築し、とりわけ切迫感を生み出すこと - は、コモディティマルウェアが関与する攻撃でも頻繁に現れ始めました。

同時に、ドメイン詐欺と悪用がさらに増加し、攻撃者は類似ドメインから正当で安全な証明書までのさまざまな技術を活用して、悪意のあるWebサイトを信頼できるように見せかけました。

詳細については、完全な2019 Human Factor Reportをダウンロードしてください。