フィッシング攻撃で定期的になりすましの対象となっている企業は350社以上あります。しかし、Microsoftのなりすましが際立って多くなっているのは、他の企業ブランドにはない旨みがあるためです。
なりすましの重要な目的は、フィッシングメールを正規のメールのように見せかけることです。これにより、メールを受信したユーザーの「警戒感」が薄れ、ユーザーの心理を操るソーシャルエンジニアリングが仕掛けやすくなり、ユーザーがメールに反応する可能性が高くなります。
カリフォルニア州サンフランシスコに本拠を置くAbnormal Security社が最近公開した2023年のフィッシングのトレンドデータによると、2023年に最も多くなりすましの対象となった企業はMicrosoftでした。(ただし、割合としては、Microsoftを装ったメールはフィッシング攻撃全体の約4.31%に過ぎません。)
一方でCheckpoint社が公開した同様のデータを記述していますが、Checkpoint社のデータではMicrosoftのなりすましが攻撃の29%を占めており、Abnormal Security社が公開しているデータにおけるMicrosoftの割合は低いように思われるかもしれませんが、この差異は、これらの内訳の対象が異なっていることに起因しています。Abnormal Security社のデータの場合、全てのフィッシング攻撃(なりすまし攻撃となりすましではない攻撃の合計)を対象としているため に4.31%になっていますが、Checkpoint社のデータはなりすましのフィッシング攻撃のみを対象としているために割合が増加しており、29%となっています。これらのデータを完璧に裏付けることはできませんが、調査結果は概ね一致しています。
では、何故再びMicrosoftが最も多くなりすましの対象となって悪用されているのしょうか?
Microsoft 365プラットフォームは広く使われていますが、その知名度はエンタープライズユーザーにおいてはAmazon、FacebookやLinkedInなどに引けを取りません。フィッシング詐欺を実行する攻撃者にもたらされる価値を考えると、この理由が明確になります。Microsoftがなりすましに使用される理由は、認証情報にあります。
クレデンシャルハーベスティング(認証情報を大量に窃取する攻撃)は、サイバー攻撃の初期段階で行われる不正アクセスの手段、情報や侵入口を販売するイニシャルアクセスブローカーにとって極めて有効な攻撃手法になっています。M365ユーザーの認証情報を1つ入手するだけで、少なくとも1つのメールアカウントにアクセスでき(これは、ビジネスメール詐欺にも使用できます)、データ、アプリケーション、その他の企業リソースにアクセスできる可能性もあります。
Microsoft 365を使用している企業や組織は、セキュリティアウェアネストレーニングを実施して、Microsoftのメールになりすまして、ユーザーにプラットフォームにログオンするように求める偽メールの危険性を教育することは不可欠です。認証情報を窃取するためのこれらのフィッシング詐欺を見分けるユーザーの能力を高めることが、フィッシング攻撃への防衛力の強化に直結します。
原典:Stu Sjouwerman著 2023年9月15日発信https://blog.knowbe4.com/microsoft-tops-list-most-impersonated-brands-2023
