サイバー犯罪の経済規模は年々拡大しているが、サイバー攻撃の戦術は、以前と変わらずデータの詐取を目的としたソーシャルエンジニアリングが多用されていることが、公開された新しいデータから明らかになりました。
ベライゾンの最新のデータ漏洩/侵害調査報告書によると、ソーシャルエンジニアリングによるデータ侵害では、以下に示すように、プリテキスティング、フィッシング、恐喝という3つの基本的な手法が使用されています。
出典:ベライゾン
これらの攻撃手法では、標的ユーザーに何らかの操作を実行させるために十分な信頼関係を築く必要があります。プリテキスティングは最も基本的なソーシャルエンジニアリングの戦術です。サイバー攻撃者はもっともらしい話で標的となる相手を信用させ、相手に情報を差し出させるように仕向けます。攻撃者に渡してしまった情報は、その後、ユーザーの認証情報を詐取するために悪用されるなど、多くの場合、次の攻撃に利用されます。
プリテキスティングでは悪意のあるリンクや添付ファイルが使用されておらず、いわゆる、うまい話やもっともらしい依頼を、文章だけで持ちかけるので、企業や組織が攻撃を検知するのは大変困難です。セキュリティシステムでは検出が難しいため、ソーシャルエンジニアリングによるデータ侵害の約40%でこの戦術が使用されています。
プリテキスティング攻撃はSNSなどに公開されている情報を元に、相手が信じ込みやすいストーリーをでっち上げて忍び寄ってきます。こういう攻撃があることとその見抜き方を知らなければ、それが攻撃であるということを見破ることは難しいでしょう。ユーザーはセキュリティ意識向上トレーニングを受講し、攻撃手法を理解する必要があります。トレーニングによりユーザーは警戒心を高め、悪意がないように思われるメールに対しても不信感を抱くことができ、サイバー攻撃のリスクを軽減できます。KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
原典:Stu Sjouwerman著 2024年5月15日発信 https://blog.knowbe4.com/phishing-pretexting-dominate-social-engineering