「フィッシングは見抜ける」 自信満々な企業と現実の悲しいギャップ:Cybersecurity Dive
ある調査では、セキュリティ責任者の96%が「自社の従業員はフィッシング攻撃を見抜ける」と自信を持っている一方で、実際には半数以上の企業で、経営幹部になりすましたSMS詐欺に従業員がだまされた事例があったという。
モバイル領域におけるセキュリティサービスを提供するLookoutは2025年7月10日(現地時間、以下同)に発表したレポートで、「モバイルフィッシング詐欺はますます深刻な脅威となっているにもかかわらず、企業は危険性を重く受け止めていない」と警告した。
Lookoutのレポートによると(注1)、企業の約6割が「テキストメッセージや音声通話を使った経営幹部へのなりすまし詐欺」による被害を経験しており、そのうちの77%は過去6カ月以内に少なくとも1回は同様の攻撃を受けているという。このような攻撃が広くまん延しているにもかかわらず、「攻撃を強く懸念している」と答えた回答者の割合は半数だった。
自信満々の自己評価とは裏腹に…… 企業を襲うフィッシングの現実
700人以上のセキュリティ責任者を対象とした調査に基づく今回の結果を受けて、Lookoutは「企業は油断しており、自覚している以上に現代の脅威に対して無防備だ。これは危険な状況を示している」と指摘した。
ハッカーたちは、音声通話やテキストメッセージを使ったモバイルフィッシングをますます活用するようになっており、従業員をだましてパスワードを提出させ、正規のアカウントを使って社内ネットワークに侵入している。こうした手口はセキュリティを監視するシステムにおいて異常と見なされにくく、発見が難しい実態がある。
米国連邦捜査局(FBI)は2025年5月に、ハッカーがAIによる音声クローン技術などを使い、米国政府の関係者になりすましていると警告した(注2)。研究者たちは、なりすまし攻撃は企業の経営幹部にとってもリスクがあると指摘している(注3)。それは、信頼関係の悪用により、同僚や家族へのアクセスも可能になる恐れがあるためだ。
直近の数カ月で(電力やガス、鉄道、空港などの)重要インフラ業界への攻撃を強化している悪名高いサイバー犯罪グループ「Scattered Spider」は(注4)、なりすまし詐欺やその他のソーシャルエンジニアリングの手法を頻繁に活用する。Scattered Spiderは、ヘルプデスクの担当者をだましてパスワードをリセットさせたり、企業ネットワークへのアクセス権を提出させたりする手口を好む。
Lookoutは次のように述べている。
「従来のセキュリティ対策ではこれらの攻撃を把握できないため、手遅れになるまで気付かれないケースが大半だ。つまり防御が非常に困難だ」
Lookoutの調査によると、回答者のおよそ半数は「自社ネットワークに対するソーシャルエンジニアリング攻撃の把握が不十分で一貫性がない」と認めており、同社はこれを「非常に一般的な攻撃手法に対する備えが著しく欠けており深刻な問題だ」と指摘している。
一見矛盾するようだが、Lookoutの調査においては、セキュリティ責任者の96%が「自社の従業員はフィッシング攻撃を見抜ける」と自信を持っている一方で、「実際には半数以上の企業で、経営幹部になりすましたSMS詐欺に従業員がだまされた事例があった」と報告されている。
Lookoutは今回の調査結果について次のように述べた。
「自信だけに頼るのではなく、組織はリアルタイムの可視化と積極的な防御を実現する強固な対策を導入するなど、サイバーセキュリティ戦略を根本から見直す必要があると判明した」
Lookoutによると、高度なセキュリティソフトウェアはあくまで対策の一部にすぎないという。それに加えて、企業はモバイルを中心とした脅威に特化したセキュリティ意識向上のためのトレーニングを継続的に実施し、警戒心を持つ文化、ためらわずに報告できて周囲から責められない環境を構築する必要がある。
(注1)The Mobile Security Mirage:Unmasking Dangerous Misconceptions(Lookout)
(注2)FBI warns senior US officials are being impersonated using texts, AI-based voice cloning(Cybersecurity Dive)
(注3)Corporate executives face mounting digital threats as AI drives impersonation(Cybersecurity Dive)
(注4)Scattered Spider poses serious risk to several hundred major companies(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
セキュリティ軽視でIPO延期…… そのとき情シスは何ができたのか?
セキュリティ対策が進まない真因には、投資や人材不足、部門の地位向上など「政治力」の不足で生じる問題が多々存在します。この連載は情シスやセキュリティ部門が従来のコストセンターを脱して価値を発揮するためのアドバイスをお伝えします。
ChatGPTにマルウェアを作らせる意外な方法 "没入型"の演出でAIを騙す
生成AIのガードレールを突破するテクニック“ジェイルブレーク”(脱獄)はさまざまな手法が登場している。あるセキュリティ企業が開発した奇妙な脱獄手法「イマーシブルワールド」はChatGPTにマルウェアを作らせた。その中身を紹介しよう。
QRコードはもう止めて…… 筆者が「これはいけるかも?」と思う代替策
QRコードを悪用したフィッシング「クイッシング」は遷移先のWebサイトなどを目視で判別できず、不正対策が難しいものです。そこで筆者が考えるQRコードに代わる新たな代替策とは。
AIに「ゲームしよう」 プロダクトキーを盗む魔法のプロンプト
0DIN.aiは、AIモデルの情報漏えい防止機構を回避する手法を報告した。AIとのやりとりをゲームとして提示し、HTMLタグで語句を難読化することでプロダクトキーを出力させることに成功したという。この手法を応用すれば複数の事例に悪用できる。