ランサムウェアの入口は“声”？巧妙化するビッシング攻撃への対策

GoogleのMandiantが公開した最新レポートによると、音声を使ったフィッシング（ビッシング）攻撃が、近年のランサムウェア被害の初期侵入の手口として使われる例が確認されています。

GoogleのMandiantが公開した最新レポートによると、音声を使ったフィッシング（ビッシング）攻撃が、近年のランサムウェア被害の初期侵入の手口として使われる例が確認されています。

攻撃者はソーシャルエンジニアリングを仕掛ける前に、公開情報をもとにリサーチを行い、より現実味のあるシナリオを用意します。

Mandiantのリサーチャーは次のように説明しています。「事前に十分な情報を収集しておけば、攻撃者は実在しそうな社員の状況を装い、もっともらしい理由を使ってヘルプデスクに連絡することができます。たとえば、『パスワードを忘れた』というのは、日常的によくある問い合わせであるため、攻撃の口実としてよく使われます。多くの組織では、こうしたケースに備えて多要素認証を導入していますが、攻撃者が用意周到であれば、秘密の質問のような認証方法など一部の認証手段を突破できる場合もあります」

「一方で、端末を使った認証が必要な場合は、突破が難しくなります。そこで、攻撃者は『出張中に端末を紛失した』などと主張し、今すぐアクセスが必要だと訴えることで、緊急性を演出しようとします。また、休暇中の社員を自動応答メールなどで特定し、その人物になりすまして連絡するという手口も多く確認されています。」

Mandiantは、このような攻撃への対策として、社員トレーニングの重要性を強調しています。

• ビッシングを含むフィッシング攻撃を想定した模擬訓練を定期的に実施し、音声ベースのソーシャルエンジニアリングに対する注意喚起を行う
• 特に社内のITサポートなどを名乗る唐突な電話や情報要求に対しては、社内の公式ディレクトリを使って折り返し連絡させるようにするか、直属の上司に相談するよう指導する
• 「急ぎの対応を求める」「今すぐ操作しないと不利益がある」「想定外のMFAリクエストが届いた」など、典型的なビッシングの口実を見抜けるよう教育する
• ヘルプデスクの担当者が過去の問い合わせ履歴や通話ログにアクセスできるようにし、「見覚えのない番号からの複数回の電話」や「MFAリセットと
  パスワードリセットが連続して同一ユーザーに発生している」など、異常なパターンを検知できる体制を整備する

KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティ文化の形成につなげています。

詳細については、Mandiantの記事を参照してください。