Record Number of Mobile Phishing Attacks in 2022
2023/03/01 InfoSecurity — Lookout によると、2022年においては、過去最大のモバイル・フィッシングが観測され、世界のスマフォ・ユーザーの半数が、四半期ごとにフィッシング攻撃にさらされていたこと判明した。この調査結果は、2023年3月1日に Lookout 発表した Global State of Mobile Phishing Report から得られたものだ。 このレポートによると、モバイル・フィッシングの発生率は、3年前からの上昇傾向を裏付けるものであり、2020年 Q4 以降においては四半期ごとに増加している。ただし、この数字は、個人の携帯電話のみを対象としている。
Lookout は、業務用デバイスに対するモバイル・フィッシング攻撃についても調査しており、2021年以降における企業用携帯電話での発生率は、およそ 10% の増加となっている。規制の厳しい業界でありながら、保険/銀行/金融/法律/医療などのサービスが、最も執拗に狙われている。
このレポートには、「モバイル・フィッシングは、ログイン情報を盗むための最も効果的な手口の1つであり、あらゆる業界の組織におけるセキュリティ/コンプライアンス/財務において、深刻なリスクが生じることを意味する。従来のセキュリティ境界の外側から、企業ネットワークにアクセスする従業員を受け入れるために、組織におけるリモートワークが増加している。つまり、BYOD (Bring Your Own Device) ポリシーが緩和されたことが、フィッシングを増大させている」と記されている。
高ステルス性の洗練された攻撃
モバイルを利用したフィッシング攻撃が、より巧妙になりつつあることも判明している。
このレポートは、「企業環境において、年間で6つ以上の悪質リンクをクリックするモバイル・ユーザーの割合は、2020年の 1.6% から 2022年の 11.8% へと急増してしている。つまり、フィッシング・メッセージと正当メッセージを区別することが、ユーザーがとって難しくなっていることが示唆される」と述べている。
マルウェア開発者たちは Cybercrime-as-a-Service (CaaS) 市場を介して、自身のサービスを構築キットとして広めている。この動向を活用する攻撃者たちは、ダークウェブに出品されている安価で使いやすいフィッシング・キットに、アクセスするようになっている。
このレポートには、「たとえば、phishing collection と題された下記のキットは、$298 で売りに出されている。それは、iCloud/Dropbox/Amazon/Office 365/Adobe などの、あらゆる組織が使っている主要なプラットフォームの塊を、狙うために使用できると主張している」と記されている。
メール以外のフィッシング攻撃も、急増している。具体的に言うと、ヴィッシング (vishing : voice phishing)/スミッシング (smishing : SMS phishing)/クイッシング (quishing : QR code phishing) などが、2022年 Q2 に7倍に増加している。
モバイル・フィッシング被害に遭遇した企業は、甚大な被害を被る可能性がある。Lookout の試算によると、従業員 5000人の組織に対してモバイル・フィッシングが与える被害額は、$4m にいたるとされる。
このレポートは、2億1000万台以上のデバイス/1億7500万個のアプリ/400万個の URL から、毎日 Lookout が取得しているデータの分析に基づいている。
フィッシング・キットが、どんどんとコモディティ化しています。残念なことに、攻撃者になろうという人が、多いことが裏付けられてしまいます。よろしければ、以下の記事も、ご参照ください。
2023/02/10:ChatGPT がフィッシングをプッシュ
2023/02/08:BEC 2022 調査:28% の開封率
2023/01/25:ChatGPT:Prompt エンジニアリング
2023/01/17:クレジットカード犯罪が 62% 減
2023/01/12:Telegram Bot:2022年の悪用は 800% 増
IoT OT Security News 
You must be logged in to post a comment.