米国司法省は、米国政府と防衛関連企業に対してスピアフィッシング攻撃を仕掛けた疑いでイラン人4人を起訴しました。あるインシデントでは、被害を受けた組織の20万人以上の従業員アカウントがサイバー攻撃者により侵害されました。
司法省はこれらのスピアフィッシング攻撃について次のように述べています。
「この犯罪グループによるハッキングキャンペーンでは、メールの受信者を騙して悪意のあるリンクをクリックさせるスピアフィッシングによって、従業員のコンピューターにマルウェアを感染させました。ある組織に対するキャンペーンでは、この犯罪グループは20万人以上の従業員のアカウントを侵害しています。別のキャンペーンでは、この犯罪グループは2,000人の従業員のアカウントを侵害しました。この犯罪グループは、スピアフィッシングのオペレーションを管理するために、スピアフィッシング攻撃を編成および展開する特殊なアプリケーションを作成して使用していました。」
司法省によれば、このサイバー攻撃者は、侵害された組織へアクセスして、他の防衛関連の請負業者に対して、偽とは見抜かれにくい内容のスピアフィッシング攻撃を仕掛けたことを指摘しています。
司法省は次のように述べています。
「スピアフィッシング攻撃の過程で、このサイバー攻撃者は防衛関連の請負業者(請負業者1)の管理者権限がある従業員のメールアカウントを侵害しました。このアカウントを乗っ取ったことで、サイバー攻撃者は「請負業者1」のアカウントを不正に作成できるようになり、そのアカウントを使用して別の防衛関連企業やコンサルティング会社の従業員にスピアフィッシングキャンペーンを展開しました。」
また、サイバー攻撃者はプロフィールを偽装する「キャットフィッシング」によって従業員を騙し、マルウェアをインストールさせたと考えられています。
司法省はさらに次のように述べています。
「サイバー攻撃者はスピアフィッシングに加えて、標的ユーザーを信頼させるために、ソーシャルエンジニアリングを利用しています。これらのソーシャルエンジニアリングの多くでは、女性になりすましています。これらのソーシャルエンジニアリングで使用された連絡先などのプロフィール情報は、標的ユーザーのコンピューターにマルウェアを展開し、それらのデバイスとアカウントを侵害するために使用される策略の1つとなっています。」
新しいスタイルの先進的なセキュリティ意識向上トレーニングによって、企業はソーシャルエンジニアリング攻撃に対する防御レイヤーを追加できます。KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
詳細については、米国司法省の記事を参照してください。
原典:Stu Sjouwerman著 2024年4月26日発信 https://blog.knowbe4.com/us-justice-department-accuses-iranian-nationals-launching-spear-phishing-attacks