新しいレポートが公開され、2023年の後半にブラウザーベースの攻撃が大幅に増加し、セキュリティソリューションの検出を回避するために特別に設計された脅威が31,000以上存在していることが明らかになりました。
KnowBe4セキュリティ意識向上トレーニング(SAT)ブログでは、多くの時間を費やして、フィッシング、ソーシャルエンジニアリング、スミッシング、ディープフェイクなど、ユーザーとやりとりして欺くために設計された攻撃手法を中心としたトピックを取り上げてきました。
サイバー犯罪者がブラウザーのユーザーを標的にする場合、ユーザーが何を手掛かりに信頼するかどうかを判断する基準が、メールベースの脅威とはまったく異なります。メールの場合には、メールの表示方法、送信者、メッセージの内容など、受け取り側のユーザーが評価できる基準があります。
しかし、ブラウザーのユーザーを標的とする脅威である場合、説得力のあるWebページやエクスプロイトを悪用するだけで、攻撃を開始できます。セキュリティベンダーであるMenlo Security社が公開した「State of Browser Security」(ブラウザーセキュリティの現状)レポートによると、このようなブラウザーベースのフィッシング攻撃が非常に増加しています。
大規模な攻撃が展開されており、Meno Security社は、2023年に55万件以上のブラウザーベースの攻撃を検出していますが、これらの攻撃は通常、可視化が非常に困難です。そして、回避型の手法が使用されるケースも増えています。Menlo社は、LURE(Legacy URL Reputation Evasion)と呼ばれる従来のURLレピュテーションシステムを回避する手法の例について説明しています。この回避手法では、URLは信頼できるサイトをハイジャックするか、URLのレピュテーションが時間の経過とともに構築されるまでドメインは休眠状態に置かれます。
このような回避手法は非常に強力であり、Menloは、シグネチャやデジタルブレッドクラム(パンくずリスト)を示さないため、既存のセキュアWebゲートウェイやエンドポイントツールでは検出およびブロックできなかった1万1000件以上のブラウザーベースのゼロアワーフィッシング攻撃を検出しています。
ブラウザーベースの攻撃から保護するために特別に設計されたセキュリティソリューションを検討するだけでなく、フィッシング攻撃への対応も検討しなければなりません。フィッシング攻撃を受けた場合、認証情報を提供し、リンクをクリックし、実行可能ファイルを起動して、攻撃の一部を担うようにユーザーが誘導されます。
セキュリティ意識向上トレーニングを実施して、ユーザーを教育することで、ユーザーによる攻撃への関与を防ぐことができ、攻撃が成功する確率を減らし、ブラウザーベースの攻撃を無力化できます。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの醸成につなげています。
原典:Stu Sjouwerman著 2024年2月9日発信 https://blog.knowbe4.com/browser-based-phishing-attacks-increase-198-with-evasive-attacks-increasing-206
