Check Pointが公開した2023年第4四半期の「ブランドフィッシングレポート」によると、2023年10月-12月のフィッシング攻撃で、Microsoftへのなりすましがフィッシング全体の3分の1(33%)を占め、最も多くなりすまされた企業のトップになりました。
Check Pointは、この調査結果について次のように述べています。「全体として最も多く標的となった業種は、突出してテクノロジー業界でした、1位のMicrosoftに続いて、2位はAmazonで9%、3位はGoogleで8%でした。テクノロジー業界以外で多くの標的となった業界は、ソーシャルネットワークと銀行業です。」
Check Pointの研究者は、ユーザーを騙して悪意のあるリンクをクリックさせ、アカウントを検証すると偽ってユーザー名とパスワードを詐取する最近のフィッシング攻撃について以下のように説明しています。
「この詐欺メールはMicrosoftのアカウントチームになりすましており、メールアドレスの認証が必要だと主張し、受信者に認証リンクをクリックするように求めます。このメールの件名は「Microsoft:メールアドレスの検証のお願い」となっており、緊急性を煽っています。メールに含まれるフィッシングリンクは、cloudflare-ipfs[.]com/ipfs/bafybeigjhhhd64vhna67panxz6myhaelya6vphjbic65jog5hvm4mmgpum です。このリンクはMicrosoftとは無関係です。このメールは受信者にメールアドレスを検証するように求めており、詐取されたパスワードとユーザー名によって別の詐欺が実行される恐れがあります。」
Check Pointは、2024年にAIの利用が増加し、フィッシング攻撃が高度化することを予測しています。
Check Pointの研究者は、ソーシャルエンジニアリングとフィッシングの脅威について次のように解説しています。「2023年が終わりましたが、フィッシングの脅威は全く衰えることがありません。IT関連の知識に長けていないサイバー犯罪者でも、正規の会社を正確に模倣できるようになり、無防備なユーザーを騙して、ソーシャルエンジニアリング攻撃を実行できるようになっています。AIが普及したことで、今年は本物の企業とのコミュニケーションと区別つかないようなフィッシングキャンペーンがさらに増加することが予想されます。テクノロジー、ソーシャルネットワーキング、銀行業界の大手企業になりすますフィッシング攻撃が続いている中で、エンドユーザーは、これらの業界の大企業から送信されていると謳ったメールを受け取った場合には、特に注意が必要です。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの醸成につなげています。
調査の詳細については、Check Pointの記事を参照してください。
原典:Stu Sjouwerman著 2024年1月11日発信 https://blog.knowbe4.com/phishing-attacks-impersonate-microsoft
