認証情報を狙うフィッシング攻撃の手口が一段と巧妙化している。認証情報が流出すれば、データや金銭に絡む深刻な事態に陥る可能性がある。特に注意が必要な、フィッシング攻撃の新しい手口とは。
メールに不正な添付ファイルを仕込んで標的に送る――。これはフィッシング攻撃の代表的な手口だ。だが「その手口はもう古い」と、セキュリティベンダーMimecastは説明する。同社によると、攻撃者はさまざまなクラウドサービスを悪用し、より巧妙な手口で標的から認証情報を奪っている。特にこれから気を付けなければならない、フィッシング攻撃の新しい“3つの手口”とは。
Mimecastによると、フィッシングを目的に不正リンクを送信する攻撃活動は活発だ。近年、ユーザー組織は不正アクセスを防ぐために多要素認証(MFA)ツールを導入するなどして対策を強化しているが、その動きを受けて攻撃者は手口を巧妙化させている。
フィッシング攻撃の傾向について、不正なプログラムを埋め込んだ添付ファイルを送信する従来の手口の代わりに、3つの新しい手口が広がっているとMimecastは説明する。
1つ目の手口は、ビジネス向けSNS(ソーシャルネットワーキングサービス)「LinkedIn」の悪用だ。この手口では、攻撃者が標的にLinkedInドメインのリンクを送信し、「あなたに届いた音声メッセージを確認する必要がある」とクリックを促す。クリックすれば、セキュリティベンダーCloudflareのCAPTCHA(ゆがみ文字列による認証方式)に誘導され、そこからメールクライアント「Microsoft Outlook」の偽のサインインページが表示される。
2つ目の手口は、サブスクリプション形式のオフィススイート「Microsoft 365」の悪用だ。この手口では、攻撃者は標的の組織が利用するMicrosoft 365のメールアカウントに入り込む。そのアカウントから、その組織と同じ業界に所属する他の組織の従業員に不正メールを送って認証情報を収集する。メールを受け取った人は正当なアカウントからのものだと考え、認証情報を提供する可能性が高いとMimecastは説明する。
3つ目の手口は、コンプライアンス(法令順守)問題に関連付けた手口だ。攻撃者は標的に「コンプライアンス問題に対処する必要がある」といった内容のメールを送り、メール内に偽のリンクを埋め込む。法的な問題にも関わるコンプライアンスを切り口にすることで標的を不安にさせ、認証情報の提供を促す。
Mimecastによると、人工知能(AI)技術を切り口とした手口のフィッシング攻撃も広がりつつある。例えば、不正なPDFが添付されたメールによる手口がある。この手口は、表的は開発ツールベンダーReplitのAI開発サービスで作成したとみられるページに標的を誘導し、認証情報の入力を求める。
他には、「請求書の支払い期日が差し迫っている」といった内容のメールを標的に送り、AI型コールセンターに連絡するように指示して認証情報を入力させる攻撃もあったという。
画像や文章を生成する「生成AI」(ジェネレーティブAI)をフィッシング攻撃に利用する動きも加速化している。Mimecastによると、攻撃者はフィッシング攻撃の標的設定やメール作成を生成AIに任せることで、攻撃活動の効率や成功率を高められる可能性がある。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
なぜ料理の失敗写真がパッケージに? クノールが展開する「ジレニアル世代」向けキャンペーンの真意
調味料ブランドのKnorr(クノール)は季節限定のホリデーマーケティングキャンペーン「#E...
業界トップランナーが語る「イベントDX」 リアルもオンラインも、もっと変われる
コロナ禍を経て、イベントの在り方は大きく変わった。データを駆使してイベントの体験価...
SEOを強化するサイトの9割超が表示速度を重視 で、対策にいくら投資している?
Reproが「Webサイトの表示速度改善についての実態調査 2024」レポートを公開。表示速度改...