ビッシングとは何か?それを防ぐ方法は?

ビッシングとは何か?これはフィッシングのスペルミスではなく、世界中の脅威アクターによってしかけられ、ますます普及しているサイバー攻撃です。CiscoやTwilioなどの大企業が最近ビッシング攻撃の被害に遭ったことでニュースの見出しを飾っていますが、これらのサイバー脅威は、放っておけばあらゆるビジネスに影響を与える可能性があります。幸いなことに、ビッシング攻撃が広まるにつれて、組織はこの新たな脅威に対処するために、サイバーセキュリティ対策とトレーニングを発展させてきました。

この記事では、ビッシングの基本、ビッシングとフィッシングの違い、そして最も重要なこととして、組織がこれらの攻撃を特定して回避する方法について学びます。

ビッシング攻撃とは何か?

ビッシング攻撃は、電話を攻撃媒体として使用するフィッシングの一種です。ビッシング攻撃では、脅威アクターは被害者に電話をかけ、組織(多くの場合、金融機関や政府機関)の代表者を装います。その後、ハッカーはビッシングソーシャルエンジニアリングの手法を使って、アカウントの認証情報や財務情報を漏洩させるなど、電話で被害者を操ります。

 最近のビッシング攻撃の増加

2022年5月、Ciscoは複雑なビッシング攻撃の被害に遭い、内部データがダークWebに公開されるという事態を招きました。複数の組織の代表者になりすましたハッカーがボイスフィッシング攻撃をしかけ、Ciscoの従業員をだましてデバイスでMFA(多要素認証)の要求を承認させました。それにより、ハッカーはCiscoの機密情報にアクセスして、それらをダークWebに公開することができました。

最近のCiscoのビッシング攻撃は、いくつかの注目を集めた事例の1つにすぎません。世界的なパンデミックによって在宅勤務が増加する中、従業員は仕事と私生活の境界線が曖昧になっていることに気づきます。そして、邪魔になるものをブロックし、悪意のあるリンクやメールをキャッチすることは、平均的な労働者にとってさらに困難になります。こうして、脅威アクターがソーシャルエンジニアリングを利用するのに理想的な状況が整いました。サイバーセキュリティ対策によって、すべてのエンドユーザーのネットワークを保護することはできないため、ITスタッフが効果的にビッシング攻撃を制御する能力は限られています。

企業は、潜在的なビッシング攻撃の警告サインを認識することに加えて、ユーザーの認識トレーニングに積極的に取り組み、従業員に適切なサイバー攻撃への予防策を実践させる必要があります。

ビッシングはフィッシング攻撃とどのように関係していますか?

ビッシングはフィッシングの一種であり、著名な信頼できるブランドになりすましてユーザーにソーシャルエンジニアリングをしかけようとする脅威です。フィッシング攻撃とビッシング攻撃では、被害者に危険な行動を起こさせるために緊急性を醸し出すなど、同じ手法が多数用いられます。最終的には、どちらの脅威も同じ目的を達成するために機能します。つまり、その目的とは、情報やアカウントをコントロールして不正使用することです。フィッシングと同様に、ビッシング攻撃も多くの組織に深刻な経済的損失をもたらしています。

どちらのサイバー攻撃もソーシャルエンジニアリングの戦術に依存しており、被害者を誤った安心感に陥れますが、フィッシング攻撃とビッシング攻撃の主な違いはそのベクトルです。フィッシング攻撃はメールを武器にしてユーザーを悪用しますが、ビッシング攻撃は電話で行われます。ただし、脅威アクターは両方の種類の攻撃を併用して被害者を悪用することもあります。

その一例がBazaCallです。これは、脅威アクターが管理する電話番号に電話をかけるようユーザに促すフィッシングメールから始まるサイバー攻撃です。被害者がその番号に電話をかけると、被害者にマルウェアをダウンロードさせる目的でビッシング攻撃が開始されます。データは、このようなハイブリッド攻撃が組織にとって最も有害であることを示唆しており、電話と組み合わせられた場合のフィッシング攻撃の効果は3倍になります。

フィッシングとビッシングは、より大きなソーシャルエンジニアリングの傘下にあると考えることができます。どちらもソーシャルエンジニアリングに依存する最も一般的で、しかも成功している脅威です。

ビッシング攻撃が実行される一般的な方法

より一般的な種類の攻撃についてはよく知っていても、他の形態のビッシングについてはなじみがない方もいらっしゃるかもしれません。ビッシング攻撃が実行される一般的な方法について取り上げて、今後それらをどう見分ければよいのかを理解しましょう

Voice over Internet ProtocolVoIP攻撃

世界的なパンデミックにより、Voice over Internet Protocol(VoIP)テクノロジーが台頭し、ユーザーはインターネット経由で電話をかけることができるようになりました。インターネット経由で通話が可能になったことで、必然的に、脅威アクターがビッシング攻撃をしかけるための理想的な条件が整いました。ユーザーにとって正当な信頼できる番号に厳密に一致するカスタム電話番号を作成できるため、脅威アクターがVoIPシステムのユーザーを標的にするのは簡単です。

ユーザーが電話に出ると、脅威アクターはビッシングソーシャルエンジニアリングの戦術を用いて、ログイン認証情報を引き出したり、悪意のあるWebサイトで認証処理を実行したり、企業の機密情報を開示したりするようにユーザーを説得します。VoIP攻撃は、しばしば政府機関や法執行機関の代表者になりすまします。この2つの組織は、往々にして、注意を喚起し、信頼を求め、迅速な行動を命じます。

銀行詐欺

この種のビッシング攻撃では、脅威アクターが銀行の誰かになりすまして、銀行口座に問題が発生したと被害者に知らせます。ハッカーは、問題を修正するためには、資金を別口座へ移さなければならない、あるいは、ログイン認証情報が必要だなどと言うかもしれません。脅威アクターの最終的な目的は、被害者を説得して、不正な口座に送金させたり、口座への直接的なアクセス権を得たりすることです。

「うま過ぎる」オファー

私たちの多くは、この種の「うま過ぎる」オファーを受け取る側にいます。脅威アクターの提案が学資ローンの一括返済の機会であろうと、社会保障の多額の給付金を得る機会であろうと、これらの押しつけがましいオファーの目的は、ユーザーにすぐに行動を起こさせることです。脅威アクターは、オファーを利用するために、被害者に少額の料金を支払わせたり、機密情報を漏らすよう要求したりすることがよくあります。被害者はそれに従った途端に、脅威アクターのオファーに隠された悪意のある意図に気づくことになります。

ビッシング攻撃を防御するための4つのステップ

ビッシング攻撃は、さらに広まり、複雑さを増しています。世界中の組織の70%近くが2021年にビッシング攻撃を受けたと報告しており、2020年から54%増加しています。脅威が増大しているにもかかわらず、組織はビッシング攻撃から防御しています。この種類の攻撃によって悪用されるのを避けるために、組織が実行できる対策は以下の通りです。

従業員を教育する

ビッシング攻撃に対する最善の予防策は、ビッシング攻撃の一般的な兆候を特定して適切に対応する方法など、従業員に徹底した教育を提供することです。適切なユーザー認識トレーニングを実施することで、サイバーセキュリティ体制の最大の弱点を強化し、攻撃が成功する可能性を制限できます。

的確な判断力を活かす

ビッシング攻撃の成功は、被害者が自らを侵害することに積極的に関わるかどうかにかかっています。教育に加えて、従業員が電話でやり取りする際に適切な判断をして注意を払うよう奨励することが必要です。これには、機密情報を漏らさないことも含まれます。というのも、銀行や正当な機関が電話でそのような情報を尋ねることはないからです。また、ハッカーがリモートでマルウェアをインストールしたり、安全なアカウントにアクセスしたりするのを阻止するために、コンピューターの制御を絶対にあきらめないことも意味します。さらに、要求に従う前に、必ず内部で確認してその要求の正当性を検証することが必要です。

不審な番号を報告する

もう1つの予防策は、不審な電話番号を報告するよう従業員に促すことです。これにより、現在のブロック番号リストにそれらの番号を追加できるようになります。迷惑電話をブロックすることで、サイバーセキュリティの最大の脆弱性である従業員へのビッシング攻撃を防げるようになります。

AIによる脅威の検出と対応ソリューションを採用する

初期のビッシング攻撃からの保護を提供するソリューションは複数ありますが、攻撃によって従業員のアカウントが侵害された時にも組織を保護する必要があります。脅威アクターは、侵害されたアカウントを使ってフィッシングキャンペーンをしかけたり、スピアフィッシングメールを送信したり、マルウェアを配信したりするなど、段階的にいくつものサイバー攻撃をいかけることができます。組織へのさらなる侵害を防ぐには、AIによる脅威の検出と対応のテクノロジーを採用する必要があります。そうすることで、アカウントの乗っ取りによってしばしば引き起こされる内部の脅威や内部関係者による攻撃から保護できるようになります。

New call-to-action