米国のセキュリティ企業であるAbnormal Securityが公開した最新のレポートにより、ファイル共有を悪用したフィッシング攻撃(ファイル共有フィッシング攻撃)が過去1年間で急増していることが明らかになりました。
同社のレポートには次のように記載されています。
「ファイル共有フィッシング攻撃では、サイバー攻撃者は広く使用されているプラットフォームや信頼できる連絡先になりすまし、従業員を騙して個人情報を提供させたり、マルウェアをインストールさせたりします。ファイル共有フィッシング攻撃は高度化しており、被害も増大しています。前年に比べると攻撃件数は350%増加し、特に金融機関や建設関連企業が標的になっています。」
ファイル共有フィッシング攻撃は、ファイルホスティングサービスや電子署名ソリューションなどの一般的なビジネスツールになりすまして行われます。そのため、同社のリサーチャーは、こうした攻撃は通常のビジネス活動に紛れ込み、疑われにくくなっていると指摘しています。
同社のレポートは次のように記載されています。
「メールによるファイルや文書の共有は、あらゆる業界で日常的に行われています。いくつかのフィッシング攻撃の件名は、信じ難いほど良い求人案内であったり、CEOが500ドルのギフトカードを要求したりするなど、多少は疑念を抱かせる可能性があります。しかし、ファイル共有フィッシング攻撃はごく一般的なファイル共有を装っているため、疑念を抱かせにくくなります。サイバー攻撃者の手法にもよりますが、もっともらしい理由を作るためにほとんど手間をかけず、偽のファイルに適切な名前を付けるだけで攻撃が成功するもあります。」
また、Abnormal Securityは2023年上半期と比較して2024年上半期のビジネスメール侵害攻撃が50%増加したことも確認しています。
同社のレポートには次のように記載されています。
「ビジネスメール詐欺(BEC)とベンダーメール詐欺(VEC)は、従業員の常識を悪用したり、従来のセキュリティ対策を回避したりするよう特別に設計されています。ソーシャルエンジニアリングや従来の攻撃の兆候がないテキストベースのメールを利用することで、サイバー犯罪者は従来のメールセキュリティソリューションを回避し、標的を操作できます。この二重の戦術によって、サイバー攻撃者は成功を収めており、BECとVECの被害が依然として続いています。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
詳細については、Abnormal Securityの記事を参照してください。
原典:Stu Sjouwerman著 2024年8月15日発信 https://blog.knowbe4.com/file-sharing-phishing-attacks-increased-by-350-over-the-past-year