企業はセキュリティの対象として企業内のエンドポイントに重点を置いているようですが、サイバー犯罪者は、騙しや詐欺などのソーシャルエンジニアリングに引っかかりやすいモバイル端末に攻撃の軸足を移しています。
私たちは、膨大な数の見ず知らずの人が公開しているコンテンツを毎日目にして、特に警戒したりすることなく利用しています。このような、ある意味、無防備な私たちの習性をサイバー犯罪者は悪用しています。
セキュリティベンダーのZimperium社が公開した2023年版のグローバルモバイル脅威レポートによると、SMS(ショートメッセージサービス)を悪用するフィッシング攻撃の一種であるスミッシング攻撃が増加しているだけでなく、サイバー犯罪ネットワークが「このようなニーズ」に応えており、フィッシング攻撃を容易にする環境が整っていることが確認されています。
- レポートの調査対象期間である2021年から2022年の間に、検出されたモバイルマルウェアのサンプルの合計数は51%増加した
- 2022年には、毎月平均77,000件のユニークなマルウェアのサンプルが発見された
- Zimperium社は、毎週平均2,000個の「ゼロデイ」マルウェアを検出している
- 現在、フィッシングサイトの80%は、モバイルデバイスを特にターゲットにしているか、モバイルとデスクトップの両方で機能するように設計されている
モバイルデバイスに対応するフィッシングサイトが増加している理由は単純です。これは、従来のエンドポイントを利用している場合と比較して、モバイルデバイスを使用している場合に、ユーザーは攻撃の起点となるリンクやファイルをクリックしたり開いたりする可能性がはるかに高いためです。エンドポイントを使用しているときに悪意のあるリンクをクリックする可能性は8%しかありませんが、モバイルデバイスを使用している場合には、同じリンクをクリックする可能性が80%に跳ね上がります。
また、モバイルデバイスに関連するセキュリティ侵害を経験した組織の73%は、これらの攻撃を「重大な侵害」と表現しており、エンドポイントを標的とする攻撃と被害の深刻度は同じになっています。
ユーザーが悪意のあるコンテンツに騙されるリスクが高まっているため、新しいスタイルの先進的なセキュリティ意識向上トレーニング(KnowBe4では“New School”と呼ぶ)を従業員に受講させ、どのような攻撃やソーシャルエンジニアリングが行われているのか、攻撃を見抜く方法、悪意のあるコンテンツに騙されないようにする方法を教育することは、急務となっています。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの醸成につなげています。
原典:Stu Sjouwerman著 2023年11月28日発信 https://blog.knowbe4.com/users-fall-smishing-attacks-more-than-email-attacks
