フィッシングの 2022年を総括:AI ツールにより高度化/急増しているキャンペーン – Zscaler

AI tools help attackers develop sophisticated phishing campaigns

2023/04/25 HelpNetSecurity — Zscaler のレポートによると、フィッシング詐欺の手法が洗練され、検知やブロックが困難になっていることで、サイバー犯罪の脅威が増大しているとのことだ。このレポートでは、現代のフィッシング攻撃の大半が、盗まれた認証情報に依存していることも明らかにされている。さらに、最近トレンドとして、中間者攻撃 (AitM) や、InterPlanetary File System (IPFS) の利用増加、ブラックマーケットから調達したフィッシング・キット、ChatGPT などの AI ツールへの依存についても概説している。


Zscaler の Global CISO/Head of Security である Deen Desai は、「フィッシングは、サイバー犯罪者がグローバルな組織を侵害するために利用する、最も一般的な脅威ベクターの1つであることに変わりはない。フィッシング攻撃の数は、前年比で増加し続けており、その性質はより巧妙になりつつある。脅威アクターたちは、フィッシング・キットと AI ツールを活用し、Eメール/SMiShing/Vishing などを介した効果的なキャンペーンを大規模に展開している」と述べている。

Desai は、「攻撃者たちは、Phishing-as-a-Service の成長に支えられた AitM 攻撃により、多要素認証を含む従来のセキュリティ・モデルを回避できるようになった。ユーザー組織が環境を保護するために必要なのは、ゼロトラスト・アーキテクチャを採用し、攻撃対象領域を大幅に縮小して侵害を防ぎ、攻撃が許した場合であっても影響が及ぶ範囲を最小化することである」と付け加えている。

ChatGPT のような新しく進化した脅威が増加

新しい AI 技術や、ChatGPT のような LLM (Large Language Models) の出現により、サイバー犯罪者にとって有利になるものとして、悪意のコードの生成/Business Email Compromise (BEC) 攻撃/ポリモーフィック・マルウェアの開発などが挙げられる。

また、分散型 P2P (Peer to Peer) ファイル・システムである InterPlanetary File System (IPFS) 上に、脅威アクターたちがフィッシング・ページをホストするケースも増えている。P2P ネットワークという IPFS の側面があるため、そこにホストされているフィッシング・ページを削除することは困難である。

最近になって ThreatLabz は、AiTM (Adversary-in-The-Middle) 攻撃を伴う大規模なフィッシング・キャンペーンを発見した。それらの AiTM 攻撃では、従来の多要素認証方式をバイパスできる技術が使用されている。

Vishing 攻撃とは、ボイス・メールを使用するフィッシング・キャンペーンのことであり、SMS や SMiShing 攻撃から派生したものだ。攻撃者は、エグゼクティブ・チームの実際の声の一部を使用し、事前に録音されたメッセージをボイス・メールに残す。そして受信者は、送金や認証情報の提供などの行動を取るように要求される。米国を拠点とする多くの組織が、Vishing 攻撃の標的となっている。

また、LinkedIn などの求人情報サイトを介した、採用詐欺も増加している。残念なことに、2022年のシリコンバレーでが、数多くの大企業が規模を縮小するという、厳しい決断がくだされた。その結果として、サイバー犯罪者は偽の求人情報/サイト/ポータル/フォームなどを活用し、求職者を集めるようになった。被害者たちが、面接を受けることも多く、中には消耗品を購入するよう求められることもあったという。

被害者を欺くために利用された有名ブランド

サイバー犯罪者たちは、有名なコンシューマ・ブランドやテクノロジー・ブランドになりすますことで、攻撃を成功させていく。今年になって、最も偽装に悪用されたのは Microsoft ありで、攻撃の約 31%を占めている。被害者の組織が所有する Microsoft 製品群へのアクセスを得るため、攻撃者たちはフィッシング攻撃を仕掛けていた。

それに続くのは、暗号通貨取引所 Binance であり、銀行や P2P 企業の偽の顧客担当者を装う攻撃で多用され、偽ブランド攻撃の 17%を占めることになった。さらに、 Netflix/Facebook/Adobe などの有名企業も、模倣されたフィッシング・ブランド TOP-20 に名を連ねている。

フィッシング攻撃のトップ・ターゲットは引き続き北米

フィッシング攻撃で最も狙われる国としては、今年も米国がトップの座を守った。同社のデータによると、フィッシング攻撃の 65%以上が米国で発生しており、昨年の 60%から増加している。

米国が引き続きトップである一方で、前年比で驚異的に増加した国々としては、カナダ (718%) /英国 (269%) /ロシア (199%) /日本 (92%) などが挙げられる。また、フィッシングの試みが減少した国々としては、ハンガリーの 90% 、シンガポールの 48% などが挙げられる。

シンガポールにおける減少は、同国の CSA (Cyber Security Agency) による取り組みなどの、政府によるサイバー・セキュリティへの投資に要因があると、ThreatLabz は捉えているようだ。

教育/医療の業界を狙うフィッシング・キャンペーンが急増

2022年のフィッシング・キャンペーンでは、教育業界への攻撃が最も急増しており、576%の増加により8位から1位へと急上昇した。ThreatLabz は、学生ローンの返済/債務救済のための 2022年申請プロセスが、この急増に一役買ったとみている。

フィッシング攻撃を受けている Top-5 の業種は、金融/保険/政府/ヘルスケアが占めており、その試行回数については、2021年の 3,100万回弱から、2022年の 1億1400万回以上へと伸びている。

2021年に、最も攻撃された業種だった小売/卸売業は、67% 減少している。また、サービス業も2021年と比べて 38%減少している。

フィッシング攻撃への対策

平均的な組織において、毎日のようにフィッシング・メールが受信され、マルウェアやランサムウェアの攻撃により発生する金銭的損失が、IT コストを急速に押し上げる可能性がある。

このレポートに記載されている、すべての脅威に対処するのは大変な作業となる。フィッシング脅威のリスクを、完全に排除することは不可能だが、IT/セキュリティ・チームは、観察されたインシデントから学ぶことができる。

Zscaler は、フィッシングのリスクを詳細に管理するために、以下のベスト・プラクティスを推奨している:

  • ポリシーと戦略を正確に伝えるために、リスクを理解する。
  • 自動化ツールと脅威インテリジェンスを活用して、フィッシング・インシデントを減らす。
  • ゼロトラスト・アーキテクチャを導入して、攻撃が成功した際の被害範囲を制限する。
  • セキュリティ意識の向上とユーザーへの報告を目的としたトレーニングを、タイムリーに提供する。
  • フィッシング攻撃をシミュレートし、プログラムのギャップを特定する。
フィッシングからシステムを保護する Zero Trust Exchange

業界の統計によると、一般的な企業は毎日のように大量のフィッシング・メールを受信している。したがって、それによる侵害からユーザーを守ることが、最も複雑なセキュリティ課題の1つであることは明白だ。

Zscaler Zero Trust Exchange は、攻撃対象の最小化/侵害の防止/横移動の排除/データ損失の阻止などを目的とした、全体的なゼロトラスト・アーキテクチャに基づいて構築されている。

Zscaler は、以下の方法でフィッシングを阻止する:

  • 侵害の防止:規模に応じた完全な SSL 検査/ブラウザの分離/ポリシー駆動型のアクセス制御などにより、疑わしい Web サイトへのアクセスを防止する。
  • 横の動きの排除: ネットワークではなくアプリケーションに直接接続することで、潜在的なインシデントの範囲を制限する。
  • 危険なユーザーと内部脅威のシャットアウト: 攻撃者が ID システムにアクセスした場合において、インライン検査でプライベート・アプリの悪用試行を防ぎ、統合されたディセプションで巧妙な攻撃者を検出する。
  • データ損失の阻止: 移動中のデータと静止中のデータを検査し、アクティブな攻撃者によるデータ盗難の可能性を防止する。

Zscaler の Global CISO/Head of Security である Deen Desai は、サンフランシスコで開催される RSA Conference 2023 で、4月27日 (木) AM 8:30 – AM 9:20 PT に、このレポート結果を発表予定だ。

Zscaler ThreatLabz の 2023 Phishing Report は、30ページの大作ですが、さまざまな統計値がグラフで示されているので、それらを眺めるだけでも意味があると思います。最近のフィッシング/BEC 関連で、とても興味深かったのは、2023/03/14 の「SVB 銀行の破綻を悪用:金銭やデータを盗み出すサイバー犯罪者たち」です。言われてみれば当然のことなのですが、銀行破綻のような事件が起こったときの、脅威アクターたちの動きの速さに驚かされました。よろしければ、以下の関連記事も、ご参照ください。

2023/03/30:フィッシングの HTTPS 化:49% が南京錠マーク
2022/03/24:Phishing Kit を解説:検出回避と延命のために
2023/03/16:BEC の発生件数が2倍に増大
2023/03/15:フィッシング悪用ブランド:Top-50 をリストアップ
2023/03/01:モバイル・フィッシング 2022年レポート

%d bloggers like this: