ソーシャルエンジニアリング
あらゆる企業は、サイバー脅威から保護する信頼できるサイバーセキュリティソリューションを必要としています。しかし、ウイルス対策ソフトウェアですべてが解決できる訳ではないことも理解しておく必要があります。企業への攻撃の大半は、従業員が悪意のあるリンクをクリックしたり、添付ファイルのマクロを有効化したり、感染したファイルをダウンロードしたりするなど、人的エラーによってもたらされています。サイバー犯罪者がマルウェアを使用する必要もないケースもあります。それは、犯罪者たちがソーシャルエンジニアリングや正規のソフトウェアのみを使用して、企業のインフラストラクチャにアクセスできるからです。これからその例を 2 つご紹介します。
ランサムウェアを使用せずに身代金を要求する手口
最近、Luna Moth グループの活動が報道(英語記事)されました。この犯罪グループは、企業データの窃取と脅迫に特化しており、マルウェアを使用せずに情報を取得する特徴があります。
最初は典型的な詐欺メールを送信して企業への攻撃を始めます。犯罪者はオンラインサービスの担当者になりすまし、メールを受信した従業員にサブスクリプションの登録が行われたと伝え、その引き落とし日が翌日だと思わせるよう仕向けます。支払いをキャンセルしたり、詳細を確認したりする場合は、メールに添付されたファイルに書かれた電話番号に連絡する必要があります。
このファイルに落とし穴があると考えるのが一般的かもしれません。ですが、予想に反してファイルにはマルウェアが含まれていません。そのため、ウイルス対策製品は、ユーザーがそのファイルを開いていても問題ないと判定する可能性が非常に高くなります。この時点における犯罪者の狙いは、ただ従業員に電話をかけさせることだけです。
このたくらみが成功し電話がかかってくると、攻撃者は困惑している従業員がサブスクプションをキャンセルできるよう助けるふりをしてだまし、リモートアクセスツール(RAT、リンク先は英語ページ)を端末にインストールさせようとします。厳密に言えばRAT はマルウェアではないので、ウイルス対策製品の大半はRATをブロックしません。潜在的な危険をユーザーに警告する製品は一部に限られます。その結果、犯罪者は遠隔からRATがインストールされた端末にアクセスし、制御できるようになります。
また、多くの場合、詐欺師は複数の RAT を端末にインストールするため、一つ削除したとしても別のものを使用して端末を制御し、最初のツールを再インストールすることが可能なことに留意してください。一度犯罪者が被害者の端末を制御すると、さらにほかのツールをインストールし、企業のインフラストラクチャに侵入し、より多くのリソースにアクセスしてデータを抜き出すようになります。
企業への電話詐欺
アメリカの通信会社であるベライゾンは最近、さらに馬鹿げた脅迫による犯罪の 被害者(英語記事)になりました。匿名のハッカーがオンラインマガジンの『Motherboard』に語った記事では、ハッカーはベライゾン社内のテクニカルサポートの一員になりすまし、ベライゾンの従業員を説得して会社のコンピューターへアクセスできるようになったとのことです。ハッカーはコンピューター上で従業員情報を処理する内部ツールを実行し、カスタムスクリプトを使用して数百人の名前、メールアドレス、企業 ID、電話番号が含まれるデータベースを収集したとみられています。
ベライゾンは、ハッカーが同社に盗んだデータを公開すると脅して 25万 米ドルを要求してきたことを認めていますが、ハッカーが重要な情報を入手したことは否定しています。しかし、Motherboardのジャーナリストがデータベースに連絡先が載っている何人かに電話したところ、一部の人が応答し、名前とメールアドレスが自身のもので、ベライゾンに勤めていることが確認できました。
この事例から学べること
この事例から学べる教訓はシンプルです。企業が最新のセキュリティソリューションを持っていても、従業員がソーシャルエンジニアリングによる攻撃に備えがなければ企業のデータは安全ではありません。そのため、サイバーセキュリティ戦略を完璧にするには、技術的なセキュリティツールの導入だけでなく、オンライン教育プラットフォームなどを使用して、最新のサイバー脅威やサイバー犯罪者の手口に関する従業員の意識を高めることも重要です。
ヒント