5社中4社以上がフィッシングに遭っている 多要素認証を無効化する手口とは？：Cybersecurity Dive

Proofpointの調査によると2022年に5社中4社以上の組織が少なくとも1回のフィッシング攻撃を経験し、半数以上が少なくとも3回の攻撃に遭遇しているという。

[Matt Kapko，Cybersecurity Dive]

　2022年にフィッシング攻撃を受けた企業の約3分の1が損失を被ったことが、セキュリティベンダーのProofpointの調査により明らかになった。

　Proofpointが2023年2月28日に発表した年次レポート「State of the Phish」によると、電信送金や請求書詐欺につながるフィッシング攻撃が前年比で76％増加した。これは脅威アクターがターゲットを狭め、より迅速に金銭を窃取することに注力している表れだろう（注1）。

5社中4社以上がフィッシングを経験　多要素認証を無効化するその手口

　Proofpointの製品マーケティングチームマネージャーであるサラ・パン氏は「直接的な金銭的損失が大幅に増加した。これはサイバー攻撃者がより性急に、フィッシング攻撃が成功した直後にその報酬を得ようとしていることを意味するだろう」と述べている。

　フィッシング攻撃による金銭的損失の増加は、脅威アクターが洗練されたソーシャルエンジニアリングの戦術を持つことを表している。

　Proofpointの調査によると、2022年に5社中4社以上の組織が少なくとも1回のフィッシング攻撃を経験し、半数以上が少なくとも3回の攻撃に遭遇している。2022年にフィッシング攻撃がもたらした最も一般的な結果は「データ漏えい」「ランサムウェア感染」「アカウント漏えい」の3つだった。

　また、脅威アクターとターゲットが直接対話する電話ベースのフィッシング攻撃は、1日当たり平均30万〜40万件だったという。

　パン氏は「この状況はサイバー攻撃者が電子メールだけでなく、コールセンターやテキストメッセージを取り入れた複雑なテクニックに熟練していることを如実に物語っている。戦術はよりクリエイティブになっている」と話す。

　またProofpointは、アカウントの乗っ取りを防止するために企業がしばしば有効にしている多要素認証をバイパスするために、脅威アクターが使用しているさまざまな方法を強調した。

　リバースプロキシを使用する中間者ツールキットを搭載した新しい既製品のフィッシングキットを使えば、脅威アクターが多要素認証を無効化できる。

　「偽のフィッシングサイトにユーザーを誘導する代わりに、エンドユーザーには正規のWebサイトを表示するが、同時にこれらのツールキットは多要素認証をバイパスする全ての認証情報を含む多くの情報を収集できる」（パン氏）

　電話ベースのフィッシング攻撃と中間者フィッシング攻撃は、2022年に大規模に展開され、ほとんどの組織を脅かすほどの高いレベルで展開されていることが報告書で明らかになった。

　なおProofpointのレポートは、2022年8月に15カ国の7500人の専門家と1050人のセキュリティ専門家を対象に実施した調査から作成された。

（注1）2023 State of the Phish（proofpoint）

原文へのリンク