Phishing トレンド 2024:状況を分析して 2025年の攻撃に備える

2024 phishing trends tell us what to expect in 2025

2025/02/27 HelpNetSecurity — リスク・アドバイザリー企業 Kroll によると、2024年のサイバー犯罪者たちが、標的とする組織へのイニシャル・アクセスを達成するために頻繁に用いた手口はフィッシングであり、この傾向は 2025年も続くようだ。

さらに攻撃者たちは、インフォスティーラーにより盗まれた有効なアカウント情報の悪用と、ソーシャル・エンジニアリングにより、標的にするシステムとネットワークへの足掛かりを得ているという。

Kroll は、「2024年に観察されたソーシャル・エンジニアリング戦術には、AI によるリアルな音声クローンを作成する、CEO スプーフィングが含まれていた。さらに、脅威アクターたちは、ヘルプデスクの担当者を装いパスワード・リセットを促し、電話を攻撃ツールにして被害者にルアー受け入れるよう仕向けている」と述べている

Most popular initial access methods in 2024 (Source: Kroll)
改良が続くフィッシングの手法とアプローチ

RansomHub や BlackSuit ランサムウェアとつながりを持つ金銭目的の脅威アクター EncryptHub は、この傾向の代表的な例である。

サイバー脅威インテリジェンス企業 Prodaft によると、このグループはスピアフィッシング攻撃をマスターしているという。ターゲット組織の IT/Helpdesk スタッフを装い従業員に電話をかけ、会社の VPN に関連すると見せかけるフィッシング・サイトへと誘導し、Microsoft Teams 経由で悪意のリンクを仕掛けて、M365 ログイン資格情報を盗み出す。

Prodaft のアナリストたちは、「わたしたちの調査により、2024年6月以降において、この脅威アクターは 618件の組織を侵害していることが判明している。これらのケースの大半において、攻撃の結果としてランサムウェア・ペイロードが展開され、侵害されたシステムは暗号化された」と述べている。

フィッシング活動の急増は、Phishing-as-a-Service (PhaaS) プラットフォームの提供が一因であると、Kroll の研究者たちは指摘する。

研究者たちは、「2024年 Q4 だけでも、複数の PhaaS プラットフォームがユーザーをターゲットにしていることを確認している。Mamba 2FA や Rockstar 2FA などの新しいツールキットは、中間者攻撃用の資格情報と認証トークンを取得するために Microsoft 365 アカウントをターゲットにしている。さらに、AI チャットボットをアンダーグラウンド・フォーラムで販売し、フィッシング・キャンペーンの配信に使用できると主張する、脅威アクターが増えていることも確認している」と述べている。

2024 年に発見された興味深いフィッシング・キャンペーンとして、いわゆる CorruptQR キャンペーンが挙げられる。このキャンペーンでは、攻撃者は破損したヘッダー情報を持つ Office ドキュメントを悪用する攻撃者が、電子メール・セキュリティ・ソリューションを回避し、回復プロセスをユーザーが開始するときを待ち続ける。Kroll の調査によると、このアクティビティは ONNX PhaaS プラットフォームに関連しているという。

フィッシングとソーシャル・エンジニアリングをかわす方法は?

フィッシング攻撃から組織を守るためには、多面的なアプローチが必要となる。

最新のソーシャル・エンジニアリング手法について、従業員に定期的に教育を受けさせ、フィッシングの試みを認識できるように訓練することで、潜在的な脅威を簡単に報告できる手段が提供する必要があると、Kroll の脅威アナリストはアドバイスする。

組織にとって必要なことは、以下のアクションを取ることである:

  • メール内のオープン・リダイレクト・リンクや QR コード・フィッシングを検出/阻止できる、メール・セキュリティ・ツールを採用する。
  • フィッシングに強い認証方法を実装する。
  • 条件付きアクセス制御ポリシーを用いることで、攻撃対象領域を減らす。具体的には、ユーザーごとに許可される MFA デバイス数の制限や、MFA デバイスを承認するときの追加の認証要素の要求などがある。
  • IT/Helpdesk ポリシーと例外処理の手順を更新し、MFA や未承認のデバイスの登録/無効化を標的とする、ソーシャル・エンジニアリング攻撃を防止する。

AI の登場によってフィッシング攻撃の巧妙化が進む中で、従業員の教育と最新のセキュリティ対策の導入の重要性も、高まりつつあると感じます。よろしければ、Phishing で検索 も、ご参照下さい。