フィッシングは初期侵入の手口としてサイバー攻撃者に好まれており、これによるインシデントは増え続けている。フィッシングはなぜ危険なのか。特に注意すべきフィッシング攻撃とは何か。
この記事は会員限定です。会員登録すると全てご覧いただけます。
IBMの調査によると、2022年もフィッシング攻撃はセキュリティインシデントにおける最初のアクセスベクトルのトップであり、インシデント全体の5分の2以上がフィッシングを侵入経路としていることが明らかになった。
IBM Security X-Forceが2023年2月22日(現地時間)に発表した年次脅威情報レポートによると(注1)、2022年はフィッシング攻撃の5分の3が添付ファイルを経由して実行されたという。URLリンク経由のフィッシングはフィッシング攻撃全体の3分の1を占めている。
今回の調査によると、フィッシング攻撃における4分の1は公開アプリケーションを悪用したもので、16%は有効なアカウントを悪用してアクセスしたものだった。また、外部リモートサービスを利用した攻撃は10件中わずか1件だ。
IBM Security X-Force Redのイノベーション・デリバリー・グローバル・ヘッド兼チーフ・ピープル・ハッカーであるステファニー・カラザーズ氏は、「フィッシングが最も一般的な初期侵入の手口として常にランクインしていることは、組織が人やプロセス、テクノロジーに注力する必要性が高いことを強調している」と述べている。
カラザーズ氏は「フィッシングが侵入において初期侵入の手口として長い間成功していることから、サイバー攻撃者はフィッシングを継続し、改良するために常にアプローチを革新している」と話す。
「大規模な侵害につながる可能性のあるリンクをクリックするのは、たった1人の人間だ。そして、それはシンプルかつ人間の感情に働きかけることによって成功する。フィッシングはこれらがそろうことで、持続的な力を発揮している」(カラザーズ氏)
そのため企業は最新のフィッシングの手口を従業員と共有することで、見破るのが難しくなっているフィッシングメールに気を付けなければならない。
例えば「スレッドハイジャック」攻撃は、脅威アクターが電子メールのアカウントを乗っ取り、本来の被害者のふりをして電子メールのスレッドに返信するもので、2022年に2倍に増加した。
カラザーズ氏は「スレッドハイジャックが非常に危険なのは、最初の信頼がすでに確立され、人々の防御力が低下したタイミングで攻撃が実行されているからだ」と話す。
この調査では、2022年に最も注目されたインシデントの幾つかで見られた傾向と侵害のポイントが強調されている。
OktaやTwilioなどのID管理製品が関わるインシデントは(注2)(注3)、下流にいる多くの潜在的な被害者に影響を与えた(注4)。あるケースではTwilioに対するフィッシング攻撃によって複数のOktaの顧客のワンタイムパスワードが流出し、それらが絡み合っていた(注5)。
2022年にIBM Security X-Force Redが顧客のために実施した侵入テストの大半は、不適切な認証や認証情報の取り扱いを明らかにしたようだ。多くの組織では、IDアクセス管理サービスを通じて公開されるアプリケーションやエンドポイントに対する可視性が欠けていることが報告書から判明した。
同レポートは、脆弱(ぜいじゃく)性とエクスプロイトのデータベース、ネットワークとエンドポイントの追跡に加え、2022年を通じてIBM Security X-Forceがインシデント対応で集めた調査データに基づいている。
(注1)IBM Security X-Force Threat Intelligence Index 2023(IBM)
(注2)Okta’s GitHub source code stolen, company downplays impact(Cybersecurity Dive)
(注3)Twilio discloses more victims as phishing attack effects cascade(Cybersecurity Dive)
(注4)Almost 10K credentials compromised in phishing spree that ensnared Twilio, Mailchimp(Cybersecurity Dive)
(注5)Okta entangled by Twilio phishing attack(Cybersecurity Dive)
© Industry Dive. All rights reserved.