私にひそかに思いを寄せているの? それは、20年前にLove Bugウイルスが世界を席巻したときに何百万人もの人々が抱いた疑問でした。「ILOVEYOUウイルス」または「Love Letter for you」としても知られるこのソーシャルエンジニアリング攻撃は、10日以内に世界中で約5,000万台のコンピューターに感染し、それらを一掃するために数十億ドルの費用がかかりました。
Love Bugウィルスが発生したとき、Windowsのユーザーはラブレターだというファイルが添付されたメールを受信しました。このウイルスは、OutlookのVisual Basicスクリプトをエントリーポイントとして使用し、一度個人のメールアカウント内に入ると、連絡先リストの全員にフィッシングメールを送信します。メッセージには、「添付されている私からのLOVELETTERをチェックしてください」と書かれています。
事態の悲痛な展開を見て、攻撃の犠牲者はすぐにメールの本当の目的に気づくでしょう(それは本当の愛ではありませんでした)。さらに悪いことに、感染の除去や削除されたファイルの回復など、攻撃によって引き起こされた全体的なダメージから回復するには100億ドルの費用がかかりました。
この詐欺は非常に深刻であることが判明したため、国防総省とCIAでさえも、短期間メールシステムをシャットダウンしました。2000年5月5日に、大半の主要なニュースサイトのトップページにこの攻撃の報告が掲載されたため、Love Bugウイルスは、これまでにない方法でメールセキュリティの脅威を世間に知らしめ、企業や個人を厳しいサイバー脅威の現実に晒しました。
それを分析すると、Love Bugが非常に洗練されたものであったことが分かります。コンピュータワームが自己を複製して拡散しながら急速に繁殖しました。それだけでなく、攻撃をさらに成功に近づけるためにあることをしました。つまり、人々の感情を食い物にして、最終的には愛を求めている人々に悪意のある添付ファイルをクリックするように誘ったのです。
Love Bugは、それに先立つMelissaウィルスと、そのすぐ後に出現したConfickerワームと並んで、ソーシャルエンジニアリングの脅威の最も初期の例の一つに挙げられます。残念ながら、20年経った今でも、私たちはこの種の攻撃に対処しています。ソーシャルエンジニアリング攻撃は、サイバー犯罪者が大混乱を引き起こすために一般的に使用されるものであり、高度なマルウェア、フィッシング詐欺、ランサムウェアなどの形に姿を変えています。今年のバレンタインデーでは、このフィッシング攻撃の進化と過去20年間のいくつかの主な傾向、およびユーザーが引っかからないようにする方法について詳しく見ていきましょう。
.
フィッシング No.1:犯罪の手口
「フィッシング」という用語が初めて記録されたのは、1996年のUsenetニュースグループでした。多くの人々は最初はそれが何を意味するのか知りませんでしたが、それは来るべきものの基礎を築きました。まもなく、AOLでフィッシング攻撃が始まり、ユーザーを標的にして、認証情報を盗む目的でAOLの従業員になりすましたメッセージを送信しました。この手法は、ハッカーがより信憑性の高い件名を作成したり、愛する人のふりをしたりするなど、ますます洗練されていきました。その後、それは、信頼できる人と通信しているとユーザーに思い込ませるスレッドハイジャックに発展しました。今日の犯罪の手口で最も一般的な形態は、ハッカーが調査を行い、標的としている個人を知っているふりをする スピアフィッシング攻撃です。
フィッシング No.2:ビジネスメール詐欺(BEC)
より具体的な形の犯罪の手口であるBECは、ソーシャルエンジニアリングの戦術に非常に強く依存しており、早くメールをクリックしなければならないという切迫感を生み出します。「man-in-the email」攻撃としても知られるこのタイプのフィッシング詐欺は、会社の幹部である人物になりすまして、従業員や不運な受信者を巧みに操って機密情報を提供させます。事実、これらの攻撃は非常に頻繁に発生しており、FBIは、2016年から2019年までの損失のうち、BECが260億ドル以上を占めていると 推定 しています。
フィッシング No.3:ランサムウェア
ランサムウェアは、2013年9月のCryptoLockerランサムウェアの登場により、フィッシングの領域で実際に勢いを得ましたが、現在でも話題となっています。マルウェアは、250,000台以上のコンピューターに配布され、ファイルをロックして復号化キーと引き換えに身代金の支払いを要求しました。メールは、かつてランサムウェアを配布する主な方法でしたが、ここで「everything old is new again(流行は繰り返す)」ということわざが当てはまります。というのも、メールでの配布が復活しつつあり、ハッカーたちは古くて基本的な戦術に頼ることが多くなってきているからです。
フィッシング No.4:サービスとしてのフィッシング(PHaaS)
あたかもインターネットという海には十分な「フィッシング」が存在していなかったかのように、この2年間、ウェブの奥底の最も暗い部分でうごめいていた新しいフィッシング戦術が表面化しました。2018年に研究者は、ハッカーが実際のフィッシングテンプレートを販売するために闇サイトを利用していることを発見しました。これにより、高度な技術を持たないサイバー犯罪者がこれらの攻撃を簡単に展開できるようになります。これらのテンプレートが模倣対象のブランドと同じ見た目と雰囲気を持てるように設計されているだけではなく、それらの製品を販売するためのマーケティング戦術も洗練されており、よりお得な条件で購入できるクーポンコードを提供しているものさえあります。
フィッシング No.5:テーマのある攻撃
今後数週間でバレンタインデーをテーマにしたフィッシング攻撃が無防備な受信トレイに飛び込むことは間違いありませんが、最近のテーマのあるフィッシング攻撃の最も顕著な例は、パンデミックの最新情報とワクチン配布に関する情報を約束する新型コロナウィルス(COVID-19)を中心としたメールです。それらが主要な保健機関からの偽造された通知であろうと、最新の手続きに関して雇用者が送信したとされるものであろうと、それらによって引き起こされる恐怖・不安・疑念(FUD)に終わりはありません。
とりわけ、これらのフィッシング技術は、テクノロジーが進化し続け、攻撃がより洗練されるにつれて現れた氷山の一角に過ぎませんが、今後出現する新しい技術の基盤として機能し続けます。洗練されたフィッシング詐欺を防ぐために企業が従うべき5つのヒントをご紹介します。
- セキュリティー認識トレーニングに投資して、フィッシングメールを検出する方法を学びましょう。
- すべてのシステムに最新のセキュリティパッチを必ず配備しましょう。
- 疑わしいリンクにマウスオーバーしてその信頼性を確認しましょう。
- ウィルス対策ソリューションおよび/またはフィッシング対策ツールバーをインストールして、定期的に監視しましょう。
- どうしても必要な場合を除き、インターネット上で個人情報を提供してはいけません。
過去1年間のフィッシングの傾向についての詳細をご希望の場合は、「Phishers’ Favorites 2020年を振り返る」のレポートをダウンロードしてください。
