ソーシャルエンジニアリングの手口

今回の記事では、サイバー犯罪者たちが企業への攻撃によく使用するソーシャルエンジニアリングの手口をいくつか取り上げます。偽のテクニカルサポートからの電話やメール、ビジネスメール詐欺攻撃、偽の法執行機関からのデータ要求などの詐欺のバリエーションをご紹介します。

「テクニカルサポートからご連絡です」

ソーシャルエンジニアリングの典型的な手法の1つが、会社の従業員に対する「テクニカルサポート」からの電話です。たとえば、ハッカーが週末に電話をかけてきてこう言います。「お疲れさまです。XX会社のテクニカルサポートサービスです。お使いの業務用パソコンで異常なアクティビティが検知されました。確認のため、すぐに出社していただく必要があります。」もちろん、週末に会社に出向きたい人はそうはいません。そこで、テクニカルサポート担当者は渋々といった様子で、「今回だけ」会社の決まりに反して、リモートで問題解決に当たろうと言ってきます。しかし、そのためにはその従業員のログイン情報が必要になります。後はお分かりでしょう。

パンデミックの影響でどの組織もリモートワークへの移行が急速に進んだことで、こういった手法が広く使われるようになりました。偽のテクニカルサポート担当者が在宅勤務に使用されている被害者のノートパソコン上の疑わしいアクティビティに「気付いて」、RATを使用したリモート接続での問題解決を提案します。その結果は、容易にご想像できるでしょう。

確認、確認、確認…

偽のテクニカルサポートの話はまだ続きがあります。2022年秋に発生したUberに対する攻撃から、興味深い手口が明らかになりました。18歳のハッカーが複数の企業のシステムへのセキュリティ侵害を成功させました。この攻撃は、犯人がUberの請負業者個人のログイン情報をダークウェブで入手したことから始まっています。ただ、企業の社内システムへ侵入するには、さらに多要素認証をすり抜ける必要がありました。

そこで使われたのがソーシャルエンジニアリングです。ハッカーは数え切れないほど何度もログインを試行すると、標的にされた請負業者に大量の認証リクエストが届きます。そこでハッカーはこの請負業者に対して、テクニカルサポートを装ってWhatsAppでメッセージを送信し、問題の解決方法を提示します。スパムを止めるには、そのうちの1つで確認を行えばよい、というのです。このようにして、Uberのネットワークに侵入するための最後の壁をすり抜けました。

「至急、送金の対応をお願いします」

もう1つ典型的な手法をご紹介しましょう。ビジネスメール詐欺（BEC）攻撃と呼ばれるタイプの攻撃です。通常は上司や重要な取引先のふりをして、何らかの方法で企業の従業員に連絡を取るというものです。多くの場合、このやり取りの目的は、被害者に詐欺師が指定した口座に送金させることです。とは言え、攻撃のシナリオにはさまざまなものがあります。犯人が企業の社内ネットワークへの侵入に関心を持っている場合は、必ず開かざるを得ないようにして、悪質な添付ファイルを被害者に送信することもあります。

いずれにしても、BEC攻撃はすべてメール詐欺がその中心にありますが、それは技術的な観点で見た分類です。はるかに重要な役割を演じているのはソーシャルエンジニアリングの要素です。一般のユーザーを標的にした詐欺メールのほとんどは笑ってしまうようなものですが、BECの場合は、大企業経験者が関わっていて、いかにもそれらしいビジネスメールを作成して、犯人たちの思い通りの行動を受信者にさせています。

「先日の件ですが…」

また、近年サイバー犯罪者の間で頻繁に使われるBEC攻撃の手口も知っておく必要があります。「会話乗っ取り」と呼ばれるもので、既に行われているビジネスのやり取りに入り込んで、関係者の一人になりすます方法です。この場合は通常、送信者になりすますのにアカウントのハッキングも技術的なトリックも使われません。攻撃者に必要なことは、実際のメールを手に入れて、それらしいドメインを作ることだけです。それだけで、メールを受信した他のユーザーたちに自然と信用され、会話を思い通りに進めることができます。サイバー犯罪者がこのタイプの攻撃を実行する場合、窃取されたか漏洩したメールのデータベースをダークウェブで購入していることがほとんどです。

この攻撃にはさまざまなシナリオがあります。フィッシングやマルウェアが使用されることもないとは言えません。しかし、従来型の手法と同様、ハッカーが乗っ取りで狙うのは通常、金銭に直接かかわるやり取りで、できれば金額が大きいものです。よいタイミングで銀行情報を提示して、戦利品を手に入れたら南の島へと飛び立ちます。

会話乗っ取りの典型的な事例が、サッカーのレアンドロ・パレデス選手の移籍時にありました。サイバー犯罪者がパレデス選手の最初の所属クラブであるボカ・ジュニアーズの代表になりすましてメールのやり取りに入り込み、クラブが受け取るはずだった移籍金の一定割合、金額にして52万ユーロを盗むことに成功しました。

「こちら警察です。データを提出してください」

2022年頃から出てきた最近のトレンドとして、ハッカーが公的機関を装ってデータを請求し、そこで収集した情報をオンラインサービスのユーザーに対する攻撃に利用する手法があります。ハッキングされた法執行機関のメールアカウントから、米国を拠点とするISPやソーシャルネットワーク、IT企業にそうした情報請求のメールが届いています。

背景を少し説明しておきましょう。通常であれば、米国内でサービスプロバイダーにデータの提出を求めるには、判事の署名のある令状が必要です。しかし、人の生命や健康が危険にさらされている場合は、緊急データ要求（EDR）を出すことができます。

通常のデータ要求の場合にはシンプルでわかりやすい確認の手続きがありますが、EDRの場合にはそのようなものがないのが現状です。そのため、それらしい要求が法執行機関から届いたように見えれば、そのまま要求が処理される可能性が非常に高いと言えます。このようにして、ハッカーたちは信頼性の高い情報源から被害者の情報を手に入れ、その後の攻撃に利用します。

ソーシャルエンジニアリング攻撃から身を守る方法

ここで紹介したどの攻撃手法でも標的となるのは、魂の入っていないハードウェアの塊ではなく、人間です。ソーシャルエンジニアリング攻撃に対する企業の防御を固めるには、人に目を向ける必要があります。つまり、サイバーセキュリティの基本について従業員に教育を実施して、セキュリティ意識を向上させ、さまざまなタイプの攻撃に対処する方法を説明します。そこで役立つのが、カスペルスキーが提供するインタラクティブなトレーニングソリューション、Kaspersky Automated Security Awareness Platformです。