サイバー犯罪の最近のトレンドでは、攻撃者は「ハッキング」ではなく「ログイン」することに注力しています。
実際に、Scattered SpiderやBlackCatのような組織化された犯罪グループが、ソーシャルエンジニアリングの手法を悪用し、正規の手段でアクセスを取得することに再び重点を置いていることが確認されています。
攻撃者は、ソーシャルエンジニアリングを駆使してヘルプデスクを騙し、認証情報をリセットさせたり、多要素認証(MFA)を回避したりすることで、無理やり侵入することなく不正アクセスを獲得します。攻撃者は社内のネットワークへ最も簡単に侵入できる経路を狙っているため、情報窃取ツールで得た認証情報を悪用したり、正規のユーザーになりすまして侵入を試みたりしています。
ReliaQuestが報告した最新のケースでは、まさにこの手法が採用されています。Scattered Spiderがソーシャルエンジニアリングを使ってヘルプデスクを騙し、6時間にわたる攻撃を実行し、最終的にシステムを暗号化しました。さらに攻撃者はMicrosoft Teamsを使って身代金を要求しており、これは最近の攻撃者がさらに大胆かつ巧妙になっていることを示しています。
脅威アナリストのHayden Evans氏は「攻撃者はハッキングをせずに、ログインしている」と説明しています。彼のアドバイスは非常に明確で、組織は厳格なヘルプデスクポリシーを実施し、MFAがソーシャルエンジニアリングのトリックに対して確実に機能するように構成することが重要です。
ネットワークを保護するためには、従業員トレーニングの改善、疑わしいアクティビティの監視、ヘルプデスクの利用手順の強化が必要です。これらの対策により、単にログインして従来のセキュリティ対策を回避する高度な攻撃者に対するレジリエンスが向上します。
原典:Stu Sjouwerman著 2024年11月9日発信 https://blog.knowbe4.com/eye-opener-attackers-dont-hack-they-log-in.-can-you-stop-them