Vadeは本日、この期間を特徴づけた上位のフィッシング脅威とトレンドの年次分析である「Phishers' Favorites 2023 Year-in-Review レポート」を発表しました。この年は、多くの面で注目に値する年でした。フィッシングメール件数は記録を塗り替えました。Facebook詐欺は最高点に達しました。Microsoftのなりすましは相変わらず高い頻度で推移しています。ソーシャルメディアプラットフォームに依存する企業や消費者への攻撃は増加しています。
この投稿では、レポートのハイライトを掘り下げ、分析結果の全文をダウンロードする機会を提供します。
フィッシング攻撃のなりすましブランドトップ20
2023年にPhishers' Favoritesレポートに掲載されたブランドは、19万7,000件以上の固有のフィッシングWebサイトを占めました。前年比で28%減少しましたが、この数字は、世界中で送信されたフィッシングURLの年間合計数が記録上最高となった期間(17億6,000万件以上)のものです。
3年連続で、Facebookが最もなりすましの多いブランドとなり、その数量は、リスト上第2位であるMicrosoftの固有フィッシングURL数のほぼ2倍となりました。Facebookは、ブランド化されたフィッシングWebサイト数の4万4000件以上を占めており、これは今年のリストのフィッシングURLの23%に相当します。また、このブランドは、Vadeがこれらの統計の追跡を開始して以来、これまでの他のどの年をも上回る組織的記録を打ち立てました。なりすまし攻撃は前年比74%増加しましたが、この増加の大半は下半期に発生しました。第3四半期に、Facebookの固有のフィッシングURL数は前四半期比で169%増加しました。第4四半期のフィッシング数量は横ばいで、わずかに5%減少しました。
今年の数字は、最もなりすましの多いブランドとしてのFacebookの勢力をさらに強めただけであり、この傾向は3年連続で続いています。ハッカーの間でのこのブランドの人気は、ベクトルとしてのソーシャルメディアフィッシングの注目度の高さを示しています。
Facebookのフィッシング統計が際立っていますが、Microsoftもまた、Phishers’ favoriteとして2023年を終えました。2022年以降、クラウドのトップに立つ同社の固有のフィッシングURLはわずかに増加し(前年比1%)、2万2,000件を超えました。Microsoftは第3位の合計のおよそ2倍のURL数を占めました。
FacebookとMicrosoftが見出しを飾る一方で、Crédit Agricoleは最もなりすましの多いブランドとして2022年を7位で終え、2023年は3位に終わりました。同社は、固有のフィッシングURLの数において次位の企業に2倍以上の差をつけて、他のすべての金融サービスブランドをリードしました。同ブランドがなりすましの多いブランドとして3位にランクインするのは2021年以来2度目です。
トップ10の残りを締めくくったのは、Orange、Softbank、Amazon、PayPal、Apple、Bank of America、Instagramでした。OrangeとAmazonはともに、それぞれの産業(インターネット/通信事業、eコマース/ロジスティクス)をリードして一年を締めくくりました。2021年と2022年を6位で終えたOrangeは、初めてトップ5に食い込みました。
注目すべきは、Softbank、Amazon、Bank of America、Instagramがすべて2022年にトップ10圏外に終わったことです。これらのブランドの中で、SoftBankは2022年から2023年にかけて最も大きく順位を上げ、76位上昇しトップ5にランクインしました。
Googleは2022年に最もなりすましの多いブランドとして3位にランクインしましたが、2023年は11位に終わりました。
その他の注目すべき動きとしては、SFRとAmerican Expressもトップ20にランクインした一方で、MTB、au、WellsFargo、楽天、クレディセゾン、Adobe、Santanderが圏外に落ちました。また、La Banque Postale、WhatsApp、DHL、Comcast、OVH、Société Générale、Netflixはいずれも、少なくとも2年連続でトップ20内にランクインしています。
ソーシャルメディアフィッシングは新たなレベルに到達
ソーシャルメディアフィッシングは、組織と消費者の両方にとって最大の脅威として迫っています。今年のデータはその現実を裏付けるものであり、依然としてハッカーの間で人気の詐欺であることを示しています。
ほとんどの産業で固有のフィッシングURLが減少した年に、ソーシャルメディアでは前年比113%以上増加し、それ以外で唯一増加したのはクラウド(4%)でした。Facebookがソーシャルメディアの台頭の原因であることは明らかですが、Instagram、WhatsApp、LinkedInもすべてそれに寄与しています。Instagramは9位でこの年を終え、WhatsApp(13位)、LinkedIn(23位)がそれに続きました。InstagramとWhatsAppはトップ20の常連です。LinkedInが2020年と2021年にこのリストにランクインしたのに対して、これらの企業がランクインする傾向は3年連続で続いています。
Vadeが検出したFacebookのフィッシングページ
Vadeが検出したInstagramのフィッシングページ
FacebookやInstagramなどのプラットフォームは消費者重視とみなされがちですが、企業にとって重要な役割を果たしているということを覚えておくことが重要です。あらゆる規模の組織が、販売、マーケティング、人材募集、雇用のためにこれらのソーシャルメディアプラットフォームに依存しています。マーケティング担当者を対象とした世界的な調査によると、およそ90%がビジネスの宣伝にFacebookを利用し、80%が同じ目的でInstagramを利用していることがわかりました。当然のことながら、Facebookの世界的な広告収入は2027年までに1,270億ドル(USD)に達すると予測されており、長年の持続的な成長を経て新記録を達成するでしょう。
一方、LinkedInは、企業間(B2B)の販売とマーケティング、人材管理のプラットフォームとして依然として人気があります。最近の推計によれば、同社の広告収入は2022年から2027年の間にほぼ2倍になる可能性があります。
しかし、ソーシャルメディアブランドになりすます動機は、消費者や組織にとってこれらのプラットフォームの重要性が高いからというだけに留まりません。ソーシャルメディアアカウントを侵害すれば、他のビジネスアプリケーションに不正アクセスできるチャンスが生まれます。最近のレポートによると、世界の労働者50%以上がすべての仕事用アカウントに同じパスワードを再利用しています。また、中小企業(SMB)については、正式なセキュリティポリシーや人材を欠いている企業が多いため、このパターンがより顕著になる傾向があります。これにより、ハッカーがソーシャルメディアアカウントの侵害された認証情報を使って、他の重要なアプリケーションに不正にアクセスするリスクが高まります。
フィッシャーズ・フェイバリット2023年版インフォグラフィック
金融サービス業界は依然として最もなりすましの多い産業であり、ソーシャルメディアが躍進している
2023年も金融サービスにとって典型的な一年となり、金融業界はハッカーによるなりすましが最も多い産業としての地位を維持しました。このセクターは、固有のフィッシングURLの合計数(6万4,009件、全体の32%)で他のすべてのセクターをリードし、その後をソーシャルメディア(5万1,183件、26%)、クラウド(4万3,350件、22%)、インターネット/通信事業(1万9,291件、10%)、eコマース/ロジスティクス(1万7,882件、9%)、政府機関(1,903件、1%)。注目すべきは、ソーシャルメディアの順位がクラウドと入れ替わり、2021年以来初めて2位となったことです。他のすべてのセクターは前年と同じ順位に終わりました。
2023年産業別フィッシング数量
最もなりすましの多いブランドのトップ20に関しても、金融サービスが全産業をリードしています。金融サービスが最多数を記録(7件)し、次にインターネット/通信事業(4件)、ソーシャルメディア、クラウド、eコマース/ロジスティクス(3件)、政府機関(0件)となりました。
トップ20のブランド:2023年
これらの調査結果は、金融サービスにおけるなりすまし攻撃が依然として一連のブランドで比較的分散していることを示しています。一方、ソーシャルメディアやクラウドでのスプーフィングは依然として少数の企業に集中しています。たとえば、ハッカーの間でのクラウドの人気は、Microsoft、Google、Netflixに集中しています。
なりすましのトップセクターとして金融サービスが支配的であることは驚くことではありません。フィッシング攻撃は、多くの場合、被害者のアカウントに不正にアクセスするという短期的な目的を達成することを目指しています。この産業はハッカーに最も利益の大きな支払いをもたらす種類のアカウントを扱っており、これがハッカーにとって非常に魅力的なものとなっています。
ソーシャルメディアやクラウドの普及も容易に理解できます。ソーシャルメディアは以前に取り上げられました。これは、認証情報を取得したり、他のスキームを実行したりするための簡単な手段です。しかし、クラウドに関しては、Microsoft 365 や Google Workspaceなどのコラボレーションスイートの継続的な成長に答えを求めることができます。もちろん、それぞれのメーカーであるMicrosoftとGoogleは言うまでもありません。
世界で最も人気のあるコラボレーションスイートであるMicrosoft 365は、2023年第3四半期に有料シート数が3億8,200万に達したと発表しました。これは、2020年の同じ期間に達した2億5,800万から著しく増加しています。一方、Googleは今年、900万以上の組織がGoogle Workspaceの有料サービスを利用していることを発表しました。フィッシング詐欺を実行する人々は、悪用できるユーザーがいる場所に移動します。そして、MicrosoftとGoogleの両方には膨大な数のユーザーがいます。
企業は業務のあらゆる側面でこれらのプラットフォームに依存しています。ユーザーは、完全かつシームレスに統合された環境でコミュニケーションや共同作業、生産活動を行うためにそれらを利用します。そのため、これらのデジタルスイートはハッカーの最大の標的となっています。たった1件のセキュリティ侵害によって、組織とその顧客、サプライヤー、ユーザーを悪用する無限の機会への扉が開かれてしまうかもしれません。
産業別なりすまし最多ブランド
ハッカーは正当なサービスを悪用する
ハッカーに関しては、2023年も正当なサービスを悪用するという実証済みの戦術が引き続き採用されました。ハッカーがYouTube、Google、Baidu、Cloudflareなどの複数の人気ブランドを悪用しているのを確認しました。 その理由は明白です。各プラットフォームは消費者と企業に大きな価値を提供します。Google、Baidu、YouTubeを利用して、消費者や従業員は必要な情報やサービスを見つけることができ、企業は自社の製品やサービスをマーケティングしたり販売したりできます。一方、Cloudflareを使用することで、組織は最適で安全なオンライン体験を提供でき、ユーザーはそのメリットを享受できます。変わらない現実が一つあります。サービスの価値が高くなればなるほど、ハッカーはそれを悪用する動機が高まります。
Quishingがカムバック—しかもリベンジを果たす
Quishing、つまりQR Codeフィッシングは新しい脅威ではありませんが、最近大きな話題になっています。Quishing攻撃では、ハッカーはQR CodeにフィッシングURLを埋め込んで、メールフィルターによる検出を困難にします。Vadeは2017年の初めにこの脅威を初めて検出しましたが、第2四半期にQuishing攻撃が驚くほど増加し、それがその年の終わりまで続きました。
MicrosoftになりすましたQuishingメール
その理由は明白です。十分に確立された脅威であるにもかかわらず、一部のメールセキュリティフィルターには依然としてQR Code読み取り機能が欠けているため、悪意のあるURLを認識して分析することができません。同時に、Quishingは、Computer Visionを利用するより高度なメールセキュリティソリューションにとって課題となる可能性があります。Computer Visionは、QR Codeに埋め込まれた悪意のあるリンクを抽出できるAIアルゴリズムの一種です。
これは、ハッカーがかつてないほど多くのフィッシングメールを送信している理由を説明するのに役立つかもしれません。過去数年間を見ると、顕著な増加傾向が見られ、2023年にはVadeが2015年に記録を開始して以来、数量が最高レベルに達しました。
2019年以来、Vadeが検出したフィッシングメール
「Scama」:ダークマーケットプレイスを掘り起こす
生産性に関して言えば、フィッシングキットがフィッシング攻撃数の増加の主な理由です。攻撃の設計、開発、展開にかかる作業のほとんどが不要になるだけでなく、サイバー犯罪者を志望する人にとっての参入障壁も低くなります。
2023年、Vadeのアナリストは、scamaの詳細な分析を明らかにしました。scamaとは、フィッシングキットを示す別の用語であり、それを売買するための闇の不正なマーケットプレイスを指します。この悪意のある産業はTelegramなどのプラットフォーム上に存在し、サイバー犯罪者は高度なフィッシングキャンペーンを開始するために必要なものすべてをそこで取引します。これには、正当なブランドやサービスになりすましたメールテンプレートやWebページが含まれます。
フィッシング攻撃:動的な脅威には多層的保護が必要
フィッシングは依然として組織にとって最大のサイバー脅威です。脅威が頻繁に洗練され続ける中、被害者を悪用する上でこれほど人気があり、多量に利用されている攻撃方法は他にありません。企業が保護を維持するには、攻撃対象領域の脆弱性を強化する多層的なアプローチが必要です。
今日の最も巧妙なフィッシング脅威から保護するために、次の対策を講じることを検討しましょう。
- 高度な統合的メールセキュリティ:2020年以来、Gartnerは組織に対し、統合的なサードパーティソリューションを使ってクラウドベースのメールを保護することを推奨しています。2023年に、Gartnerは再びこれを推奨しました。「ゼロデイ」として知られる新たなフィッシング脅威を防御できるのは、統合的なサードパーティのメールセキュリティソリューションだけです。 そのレベルの保護対策として、マシンラーニング、Computer Vision、自然言語処理(NLP)アルゴリズムを活用するソリューションを探しましょう。これらを組み合わせることで、テキストや画像ベースの脅威を含むあらゆる種類のフィッシング脅威を予測的に防御します。また、人間の洞察を組み込み、リアルタイムのグローバル脅威インテリジェンスを利用し、脅威の阻止、検出、対応のための堅固な機能を提供するソリューションを優先しましょう。この組み合わせを採用することで、高度なフィッシング攻撃を監視して防御できるようになります。
- 堅固で統合されたインシデント対応:サイバーセキュリティにおいて、セキュリティインシデントは避けられません。問題が発生したら、迅速かつ正確に対応することが重要です。テナントやユーザー全体でメールの脅威を自動的に修復し、ユーザーから報告されたメールに優先順位を付けて修復し、サイバーセキュリティを一元管理できるテクノロジーを探しましょう。
- メールボックスからブラウザまでの拡張保護:メールが主な攻撃ベクトルですが、多くの場合、ペイロードはWeb経由で配信されます。Remote Browser Isolation(RBI)ソリューションを使って、モバイルユーザーとデスクトップユーザーを保護しましょう。RBIテクノロジーは、ブラウジングセッションごとにリモートでホストされるセッションを起動することによって、ユーザーをブラウザ攻撃から保護します。最適なメールセキュリティを実現するために、この保護をメールリンクからWebまで拡張すると同時に、ホワイトリストをシームレスに制御できるソリューションを探しましょう。
- フィッシング認識トレーニング:人的エラーは依然としてデータ侵害の主な原因です。ユーザーは、悪意のあるリンクや添付ファイルを操作してしまうことが特に多いようです。フィッシング認識トレーニングでは、この脆弱性の解決を試み、ユーザーが潜在的な脅威を識別し、それらを修復するために管理者に報告するように指導します。どのような形式のトレーニングでも役に立ちますが、各ユーザーの役職と年功に応じて、電子的かつ自動的にオンデマンドで管理されるプログラムを探しましょう。これらの機能は最良の結果をもたらし、各ユーザーが遭遇する可能性の高い脅威がトレーニングに確実に反映されます。
