ベライゾンは、巧妙で説得力のある「2022年データ侵害調査報告書」を発表した。私たちは、パンデミックの間に増加し、報告書の中で50回以上言及されているフィッシングについて、報告書の調査を見てみようと思った。
フィッシングは、過去2年間、情報漏えいのトップ・アクションの1つであり続けている。しかし、フィッシングはその鱗のような栄誉に甘んじることなく、検疫を利用してその頻度を高め、侵害の36%(昨年の25%から増加)にまで至っている。この増加は、世界的な自宅待機命令が発令された当初、フィッシングやCOVID-19関連のフィッシングが殺到したことを考えると、私たちの予想と一致している。
ベライゾン2021年データ侵害調査報告書
ベライゾンのリサーチャーは、88カ国から29,207件のセキュリティ・インシデントを発見し、そのうち5,258件がデータ漏洩であることを確認した。以下は、データ漏洩に関する詳細な数字である。
- フィッシングの被害は36%にのぼり、昨年より11%増加。
- ランサムウェアの侵入は10%で、昨年の2倍以上であった。
- 情報漏えいの85%に人的要因が関与
- 情報漏えいの61%にクレデンシャルデータが関与
電話によるフィッシング
グローバル・サイバー・アライアンスの「Cyber Trends 2021」イベントで、ベライゾンの調査対応・脅威インテリジェンス担当マネージング・プリンシパルであるフィリップ・ラービー氏は、レポートからのデータを紹介し、その背景と洞察を示した。そのうちの1つは、フィッシング・キャンペーンの後に電話がかかってくるという傾向を扱ったものだ。詐欺電話の中で、フィッシング詐欺師はメールの受信者にメールを開くよう促した。リアルタイムでフィッシングメールをクリックするよう他者に求められるという即時性とプレッシャーから、被害者がクリックしてしまうケースが非常に多く、その結果、悪質なペイロードがネットワーク上に流出した。この振り込め詐欺の手口は、標的を設定し、社会的に操作されたEメールと電話を統合した、スピアフィッシングの新しい手口の先駆けとなりました。
ビジネス・メールの危殆化
2021年データ漏えい調査報告書のソーシャル・エンジニアリングのセクションで、ベライゾンは「このパターンの漏えいの大部分はフィッシングが原因であり、クラウドベースの電子メールサーバーが標的として選ばれている」と述べている。ビジネスメール侵害(BEC)は、ソーシャルエンジニアリングの2番目に多い形態でした。この攻撃シナリオは、ソーシャルインシデントにおいて昨年の15倍となった「虚偽報告」の急増を反映しています。この報告書で調査された攻撃の58%は資金を誤送金することに成功し、平均「損失は30,000ドルで、BECの95%は250ドルから984,855ドルの間であった」。
クレデンシャル盗難=巨額の支払い
ソーシャル・エンジニアリングやフィッシングによるクレデンシャルの窃盗は、サイバー犯罪者にとって引き続き最優先事項である。「ベライゾンは次のように述べています。このように乗っ取られた電子メール、ネットワーク、アプリケーションのログイン情報によって、脅威者はさらにネットワークやシステムに侵入し、BECの手口を実行したり、マルウェアやランサムウェアをインストールしたり、個人を特定できる情報を盗んだり、知的財産や機密情報を略奪したりすることができます。
「フィッシング攻撃が蔓延していることを考えると、認証情報が頻繁に登場するのはここである。「社会保障/保険番号のようなデータ要素や、犯罪者がさらに金銭詐欺を行うためのその他の情報が含まれるため、個人データも格好の標的となる。
十字線上の行政
行政部門はフィッシャーの標的になっている。ベライゾンによると、「この分野では、信頼できるフィッシングメールを作成できる詐欺師が、驚くべき速さでクレデンシャルを持ち去っている」という。「ソーシャル・エンジニアリング・パターンは、この業界における侵害の69%以上に関与している。明らかに、この業界はフィッシング詐欺師が好む蜜の穴である。ソーシャル・アクションは、電子メールを媒介とするフィッシングにほぼ限定されていた。また、フィッシングを利用すれば済む話なのに、なぜわざわざシナリオを作る必要があるのだろうか。
公共事業がソーシャル・エンジニアリングに陥る
そして、ユーティリティ・セクターについて少し触れないのは不謹慎だろう。ベライゾンの調査カテゴリーには、鉱業、採石業、石油・ガス採掘も含まれている。ソーシャル・エンジニアリングは、「一部の組織に対して持続的なフィッシング・キャンペーンが発生しており」、再び顕著になっている。ソーシャル・エンジニアリングは、この分野の侵害の86%を占め、次いでシステム侵入と基本的ウェブ・アプリケーション攻撃となっている。このサマリーが発表された時点では、非道なコロニアル・パイプラインの攻撃に関する詳細は明らかになっていない。この報告書の統計から考えると、ソーシャル・エンジニアリングとフィッシングの攻撃ベクトルについて疑問を持たざるを得ない。
DMARCとdmarcianはどのように役立つか
DMARCは、ソーシャルエンジニアリングやフィッシング攻撃を使用する犯罪者からインターネットドメインを保護するのに役立ちます。DMARCは結局、組織が電子メールをドメインベースのサービスとして管理するための接着剤となる。なりすまし防止技術としてのDMARCの有用性は、より重要な革新的技術に由来する。事実上、DMARCの約束は、”悪いメールをフィルタリングする “メールセキュリティモデルを “良いメールをフィルタリングする “モデルで補強することである。
dmarcianの使命は、DMARCの普遍的な採用を見ることです。私たちはこの技術を提唱し、あらゆる形や規模の組織がDMARCを導入できるよう支援することで、DMARCを発展させていきます。私たちは、DMARCの導入が適切に構造化されることで、組織がオンライン上で信頼できる存在となるための基礎が築かれることを学びました。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様...のサポートを行っています。
お気軽にご連絡ください
無料相談開催中!
出典元
Phishing and Social Engineering Loom Large in Verizon 2021 Data Breach Investigation Report
