編集部からのお知らせ
特集PDF1「導入期に入るマイクロサービス」
特集PDF2「DXレポート」
今だから知っておきたいソーシャルエンジニアリング

第2回:深刻な被害につながるソーシャルエンジニアリング

伊藤利昭 (Vade Japan)

2022-08-19 06:00

サービス化により増加するフィッシング

 ドイツの調査会社Statistaは、ランサムウェア攻撃が2019年以降増加しており、2021年の新型コロナウイルス感染症の大流行時にピークに達し、世界中の企業・組織の68%が攻撃を経験したと報告している。また、報道によれば、同年にランサムウェアの「身代金」の支払い額が米国で70%増加(Washington Post、5月)し、フランスはこれに次いで55億ドルの被害(AP通信、5月)が出ている。

 ランサムウェア攻撃を経験している企業や政府機関は、その原因を語ろうとしない。しかし、多くの企業は、従業員がフィッシングメールをクリックしたことを感染原因であると認めている。Statistaは、マネージドサービスプロバイダーを対象とした世界規模の調査で、2020年のランサムウェア攻撃の54%においてフィッシングやスパムメールが発端となっていることを明らかにしている

 現在では、フィッシングメールを作成するために、高度なスキルを必要としない。悪用しようとするブランドの画像やロゴはウェブサイトから入手できるし、メールの送信者欄を自由に変更できる。闇サイトで販売されているフィッシングキットを使えば、フィッシングサイトを正当なものに見せるだけでなく、セキュリティベンダーなどによる検出を回避するのに役立つ不正なウェブページやツールなど、フィッシング攻撃に必要な全ての要素が含まれている。

 また、フィッシングキットをSaaS化した「サービスとしてのフィッシング」(PhaaS)も登場しており、標的の宛先となる受信者のリストを入手したり、送信したフィッシングメールを追跡したりする機能も利用できる。IDとパスワードといったログイン情報を盗み出すことを目的としている場合は、入手したログイン情報を管理したり、そのリストを販売したりする機能まで用意されている。フィッシングが急増した背景の一つには、こうしたツールの普及が挙げられる。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]