脆弱性を突くより人間をだます方が簡単で効果的:プルーフポイント調査

國谷武史 (編集部) 2017年07月13日 17時01分

  • このエントリーをはてなブックマークに追加

 メールセキュリティの米Proofpointが、人間の心理を突くサイバー攻撃の動向をまとめた最新版レポート「The Human Factor 2017」を公開した。同社は、「人間の弱みを狙うソーシャルエンジニアリング攻撃がこれまで以上に拡大している」と指摘する。

 サイバーセキュリティストラテジー ディレクターのJennifer Cheng氏によれば、サイバー犯罪者は、ソーシャルエンジニアリング攻撃を仕掛ける上で、SNSに公開された個人情報や市販されているCRMのデータベースなどを利用し、受信者ごとにカスタマイズした精巧な内容のフィッシングメールなどを送り付ける。

精巧なフィッシングメールの特徴(出典:Proofpoint)''
精巧なフィッシングメールの特徴(出典:Proofpoint)

 2016年に発生した攻撃では、特に「ビジネスメール詐欺」(BEC)と呼ばれる手法が急増した。2015年に同社が確認したBECは、メール攻撃全体の1%にも満たなかったが、2016年は42%に増え、受信者のアカウントが盗まれるなどの被害が、オフィスの内外を問わず広がっているという。

Proofpoint
Proofpoint サイバーセキュリティストラテジー ディレクターのJennifer Cheng氏

 「BEC攻撃は、オンラインバンキングを狙うトロイの木馬に感染させる攻撃をしのぐ勢いを見せている。攻撃者は、信頼されたブランドに偽装したり、紛らわしいアプリケーションを使用したりするなど、さまざまな手口を用いる」(Cheng氏)

 サイバー犯罪者は、受信者の認証情報の搾取やオンラインバンキングを狙うトロイの木馬の感染、あるいはランサムウェアによる身代金の獲得といった目的で攻撃を仕掛けるが、Cheng氏は、コンピュータの脆弱性を突いたり、マルウェアを直接送り込むよりも、ソーシャルエンジニアリング攻撃の方がはるかに、簡単で効果的だと話す。

 例えば、オンラインバンキングを狙うトロイの木馬に感染させる攻撃では、メールをクリックさせるなどの手法が99.9%以上を占め、脆弱性を突く手法は0.1%に満たない。また、この種の攻撃では、北米や欧州といった地域ごとに流行するマルウェアが異なるといった傾向も強まっているという。

 不正なメールの流通量を曜日ごとに見た場合、大半は月曜日から金曜日の平日に集中し、特に木曜日は他の曜日に比べて平均38%多いことが分かった。組織の受信者が不正なメールのリンクや添付ファイルをクリックしてしまう時間帯では、午前8時から午後1時が49%を占めた。

組織を狙う攻撃メールのクリックは業務時間内に集中している(出典:Proofpoint)''
組織を狙う攻撃メールのクリックは業務時間内に集中している(出典:Proofpoint)

 悪意あるリンクのクリック率は平均4.6%で、業種別では建設業や鉱業、卸売業、宿泊/飲食サービス業が5.0%を超える一方、医療や公益事業では4.0%未満だった。「クリック率の低い業界では、こうした脅威への意識から対策が進んでいるとみられる」(Cheng氏)

 OS別ではWindowsが44.7%、Androidが37.0%、Macが8.3%などとなっている。Windowsのクリック率は2014年の約91%から大きく減少しており、Cheng氏によれば、PCに代わってモバイルなどで被害に遭う危険性が高まりつつある。また、WindowsのクリックではXPやVistaなど古いバージョンでのクリックが19%(クリック全体では9%)を占めていた。

 Cheng氏は、ソーシャルやモバイル、ウェブといった企業のデジタル化を推進するテクノロジが、こうしたソーシャルエンジニアリング攻撃にも悪用されつつあると分析する。「企業や組織では、あらゆるコミュニケーションのチャンネルを監視しなければならず、攻撃を阻止する技術的な対策に加えて、万一のインシデントに短時間で対応できるようにしなければならない」と指摘している。

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

SpecialPR

連載

CIO
ハードから読み解くITトレンド放談
大木豊成「仕事で使うアップルのトリセツ」
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
セキュリティの論点
ネットワークセキュリティ
スペシャル
Gartner Symposium
企業決算
ソフトウェア開発パラダイムの進化
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化