米Proofpointは、人間の心理を突くサイバー攻撃の動向をまとめたレポート「Human Factor 2018 Report」を公開した。これによると攻撃者の多くは、システムの脆弱性などの代わりに「人的要因」を積極的に狙っているという。
同社によれば攻撃者は、常にソーシャルエンジニアリングを使ったアプローチを改善し続けており、注意深いユーザーですらだまされてしまうほどの巧妙な餌(ルアー)や仕掛けを生み出している。
例えば、大企業の場合、不正登録が疑われるドメインが正規ドメインの20倍に達しており、これは、フィッシング攻撃の犠牲者が正規ドメインに似せた類似ドメインや偽装ドメインにだまされている可能性が高いことを示している。
また、何百万人ものユーザーを狙い、ウェブブラウザとプラグインのアップデートを装った大規模な悪意のあるキャンペーン(攻撃活動)が観測された。このようなウェブベースの攻撃(エクスプロイトキットを含む)の95%がソーシャルエンジニアリングを取り入れ、ユーザーにマルウェアをインストールするよう仕向けているという。さらに、ソーシャルメディア上の攻撃の約55%は、顧客サポートアカウントを偽装する「Angler フィッシング」と呼ばれる方法が使われ、金融サービス企業の顧客を狙っている。
メールの脅威では、Dropboxがフィッシング攻撃で最も使われた「餌」だったが、同時に、Docusignを餌に使った攻撃のクリック率は上位20個の餌の平均クリック率の5倍を超えている。また、ランサムウェアとバンキング型トロイの木馬は、全ての悪意あるメールメッセージの82%以上を占めており、最も広く配布されているマルウェアとなっている。
一方、Microsoft Officeエクスプロイトによる悪意のあるメールキャンペーンは定期的に観測されたが、多くは短期間に急増して、その後収束している。
標的となる組織や業界では、教育、経営コンサルティング、エンターテイメント/メディア業界がメール詐欺攻撃が最も多く、組織あたり平均250件以上の攻撃が見られた。また、マルウェアのうち、特に犯罪行為を目的として作られたプログラムである「クライムウェア」に最も狙われている産業は、これまで製造業・ヘルスケア・テクノロジーだったが、今回の調査では建設・製造業・テクノロジーの各業界となった。さらに、欧州と日本ではバンキング型トロイの木馬の地域別割合が大きく、悪意のあるメールのそれぞれ36%と37%を占めている。
クラウドサービスの脅威では、こうしたサービスへの疑わしいログイン試行の25%近くが成功しており、数十万件のSaaSアカウントのサンプルについてリスクアセスメントを行ったところ、あらゆる認証に利用するクレデンシャル情報の約1%が漏えいしていた。また、クラウドサービスのユーザーのおよそ60%(特権ユーザーの37%を含む)は、パスワードポリシーの徹底またはマルチファクタ認証が適用されていないことも判明した。
同社によると、ある攻撃者は、2017年を通じて数百のキャンペーンで配信された数百万通のメッセージのマルウェアをホストするためにMicrosoft SharePointを使用していたことが分かった。また、G SuiteからEvernoteに至るまで、フィッシング詐欺メールやマルウェアの送信に利用されていたことが分かっている。Proofpointは、Google AppsのScriptに脆弱性を独自に発見したとし、これを使うと、攻撃者はG Suiteの正規アカウントから、メールでマルウェアを送信できる可能性があるという。
