COVID-19(新型コロナウィルス感染症)は、生活のほぼすべての局面に強烈な影響を及ぼしています。企業が大急ぎで最適なテレワーク環境を作るように強いられると、サイバー犯罪者たちは即座に行動を開始し、Zoomのミーティングをハッキングして、フィッシング、スピアフィッシング、マルウェアやスパムなどで従業員を攻撃しました。
さらに悪いことに、仕事に集中するのが非常に難しい状況で働くことによって、仕事生活と家庭生活が衝突しています。隔離生活によって子どもが家にいる中で仕事をしている人たちは、仕事に集中するのは不可能だと感じているかもしれません。このような状況が、ソーシャルエンジニアリングに最適な条件を生み出します。注意散漫になったユーザーは、慎重にメールを調べてメール脅威の兆候を確認する可能性が低くなり、パンデミックに関するニュースや更新情報にすぐに反応する傾向がより高くなります。
加えて、オフィスの壁が実質的になくなっているため、自宅に居ることの快適さが従業員を油断させます。また、ITスタッフが建物内にいなくなったことで、サイバー衛生が悪化し、サイバーセキュリティに関して概して無関心な状態が生まれます。
ソーシャルエンジニアリング技術
ソーシャルエンジニアリングは、心理操作を利用して被害者に近づき、サイバー攻撃、中でもスピアフィッシングやフィッシングのようなメール攻撃をしかける準備をします。これには、特別な技術能力もツールもソフトウェアも必要ありません。ハッカーに必要なのは、嘘をつき人を巧みに操る能力だけです。これは本来ハッカーに十分に備わっている特性です。
大半のメール攻撃では、一般的にフィッシングフォームでの情報漏洩、マルウェアが含まれたファイルのダウンロード、商品の購入などの要求された行動を実行する形で、被害者が手を加える必要があります。そして、被害者を関与させるために、ハッカーは彼らの興味を引かなくてはなりません。ハッカーは、さまざまな方法で被害者にソーシャルエンジニアリングをしかけます。
恐怖をあおる戦術
フィッシングメール、特に件名には「セキュリティ警告」、「アカウントの侵害」、「不正なサインイン」などの恐怖や不安を煽るような言葉や文が含まれていることが多々あります。スピアフィッシング攻撃では、ハッカーは被害者を脅迫し、すぐに行動するようにプレッシャーをかけて、要求された行動を果たさなかった場合に起こりうる特に仕事への影響を恐れさせます。
COVID-19(新型コロナウィルス感染症)が蔓延する中、サイバー犯罪者たちは、さほど努力をしなくても被害者に恐怖を抱かせることができるようになりました。世界的に供給不足になっているマスクの宣伝をするスパムメールから世界保健機関になりすましたフィッシングメールまで、COVID-19関連のメール脅威が私たちの不安を煽り、希望への期待につけ込んで私たちを騙します。
プリテキスティング
スピアフィッシングメールは、たいてい親しみのある一連のやり取りから始まり、被害者をその気にさせます。プリテキスティングのメールは、親しみのあるあいさつ程度の短いメッセージで始まり、その後に何らかの要求をしてくるものもあれば、電信送金などの依頼を完了する能力があるかを被害者に確認する内容のメールもあります。
テレワークでは、仕事上の直接対面するやり取りがなくなるため、人々は、同僚と連絡を取るために創造性を働かせて、テキスト、チャット、メールなどを介した非公式なコミュニケーションの標準化を余儀なくされます。この新たな正常状態は、 COVID-19が出現する前であれば警戒された可能性のあるやり方でプリテキスティングをしかけるチャンスを与えます。例えば、高額の送金依頼は、通常メールではなく、直接面と向かって依頼するものですが、対面が不可能なため、メールで依頼したとしても不審に思われることはないかもしれません。さらに、標的にされた従業員は、じかにその要求を確認できないため、電話でその要求を確認しなければなりません。では、実際にそうするでしょうか?多くの人はやりません。
なりすまし
あらゆるフィッシングやスピアフィッシングメールの特徴であるなりすましは、親しみやすくて信頼できる雰囲気を作り出します。被害者は、信頼できるブランドからのメールをクリックしたり、見知らぬ送信者よりも既知の送信者からのメールに返信したりする可能性が高くなります。
保健機関や政府機関は常に消費者にとっての情報源であるため、世界的な規模でなりすましのチャンスを与えています。消費者は、これらの機関がCOVID-19の感染率や地方条例に関する最新統計データを提供してくれるものと信じています。これらの機関の1つになりすますメールは、被害者の感情的な反応を煽ります。それがハッカーたちの狙いです。それに加えて、企業はテレワークをサポ―トするために、さらに多くのクラウドアプリを導入しているため、そのような企業は、Adobe、Google、Microsoft、DocuSign、Dropboxなどの大手プロバイダになりすましたフィッシングメールの影響を受ける可能性が高まります。
サイバーストーキング
ソーシャルメディアのアカウントは、個人化された攻撃をしかけるためにサイバー犯罪者が必要とするすべての材料を提供します。ハッカーはLinkedInやTwitterなどの ソーシャルメディアのプラットフォームで被害者をストーキングして個人情報を収集し、被害者に関するそれらの詳しい情報を利用して攻撃をしかけます。
世界中の市民がロックダウンしているため、彼らはたくさんのソーシャルメディアに目を向けています。ハッカーたちは内容を読むだけではなく、仕事や健康状態、金銭問題、家族問題などを含めた隔離生活中の個人的な体験に関する最新情報も共有しています。これらの個人情報は、被害者を利用するための一種のチェックリストとなるソーシャルプロフィールを作成するために使われます。
前述の手法を使うことで、ハッカーは被害者を巧みに操り、さまざまな行動を実行させます。したがって、ソーシャルエンジニアリングは、ハッキングの手間を省き、被害者に責任を負わせて攻撃を成立させることができます。
貴社を守る
COVID-19によって、世界のビジネス経済の大部分がテレワークへと方向転換をしたため、仕事環境の構造は激変し、いつくかの点では消失したものもありました。公的医療、社会規範、世界経済の驚くべき崩壊を目の当たりにしたことによる心理的な被害と相まって、労働者たちは集中力を欠き、神経を尖らせているため、サイバー攻撃を受けやすい状態に陥っています。それらを注意深く観察しているサイバー犯罪者にとって、ソーシャルエンジニアリングは完璧な攻撃手段です。
物理的に従業員から離れていても、ソーシャルエンジニアリングやその他のメール脅威からビジネスを守ることは可能です。以下は遵守すべきいくつかの一般的なルールです:
- 絶対にメールからアカウントにログインしない。
- 金銭的な依頼はすべて電話で確認する。
- 見知らぬ送信元からの添付ファイルは絶対に開かない。
- すべてのPDFと添付ファイルはプレビュー表示をしてから開く。
- ソーシャルメディアのダイレクトメッセージでリンクを開かない。
- あらゆる脅威を(たとえ確信が持てない場合でも)IT部門に報告するように従業員を促す。
最後に、セキュリティ意識向上トレーニングを維持し、従業員がデスクトップ上でリマインダーとして保存できる素材を彼らに提供することが必要です。以下は、従業員と共有できるインフォグラフィックやリソースです。
サイバー衛生のためのグッドプラクティス
スピアフィッシングメールを見分ける方法を学びましょう
フィッシングメールを見抜く方法を学びましょう
フィッシングIQテスト
IsItPhishing.AI
