ポスト

なぜサイバー攻撃者はソーシャルエンジニアリング攻撃を多用するのか?

サイバー攻撃者は、コンピュータシステムやソフトウェアではなく、人間の要素をターゲットにした攻撃の一種であるソーシャル・エンジニアリング攻撃を使用します。攻撃者は、人をだまして、被害者のコンピューターにアクセスできるような行動をとらせようとします。

この種の攻撃で最も一般的なものの1つが、中間者攻撃です。中間者攻撃とは、攻撃者が他人になりすまして、双方向音声応答、電子メール、インスタントメッセージング、ウェブ会議などの正規化されたプロトコルを介して、被害者が直接会話していると思い込ませることで発生する攻撃です。

外部から直接ハッキングするよりも、人為的な操作によるハッキングの方が実行しやすい。この記事では、なぜSE攻撃が増加しているのか、なぜサイバー攻撃者はこのような手口をよく使うのかについて説明します。

なぜサイバー攻撃者はソーシャルエンジニアリング攻撃を行うのか:その原因と理由

ソーシャル・エンジニアリング攻撃ソーシャルエンジニアリング攻撃は、今日、ハッカーが使用する最も一般的で効果的な手法の一つです。これらの攻撃は、従業員の信頼や親近感、従業員と顧客との物理的な近さなど、人と人との関係を悪用することが多いのです。

a.従来のセキュリティの弱点は人間の要素

攻撃は人間の相互作用に依存するほど効果的である傾向があり、テクノロジーで防御することはできないのです。

攻撃者に必要なのは、ターゲットの習慣や嗜好に関するわずかな情報と、被害者に自分を見せるための工夫だけです。

この結果、攻撃者は、組織のネットワークに侵入したり、企業のシステムに侵入したりといった、より複雑なテクニックに頼ることなく、欲しいものを手に入れることができるのです。

b.高度なハッキングテクニックは必要ない

ソーシャルエンジニアリング攻撃は、システムやネットワークにアクセスするために人々の信頼を利用します。これらの攻撃は、高度なハッキング技術を使用してブルートフォースでネットワークに侵入するのではなく、攻撃者が簡単にアクセスできるため、効果的です。

このような場合、攻撃者は通常、フィッシング、スピアフィッシング、プレテクシングなどの心理的な操作技術を使用します。

フィッシングとは、攻撃者が正規のメールに見せかけ、パスワードやクレジットカード情報などの個人情報をだまし取るために送信することです。

スピアフィッシングとは、フィッシングと同じ手法でありながら、他人になりすますなど、より高度なテクニックを使って、お客様の情報をだまし取ることです。

➜Pretextingとは、攻撃者が犠牲者から窃盗を試みる前に、犠牲者の信頼を得るために偽りを使用することです。

いったん攻撃者がシステムやネットワークにアクセスすると、プログラムのインストール、ファイルの変更、削除など、その内部でやりたいことが何でもできてしまう。

c.ダンプカー・ダイビングはブルート・フォースでネットワークに侵入するよりも簡単だ

ダンプスターダイビングとは、ソーシャルエンジニアリング攻撃を行うために廃棄物から情報を取得する行為です。ゴミ箱の中から、付箋に書かれたアクセスコードやパスワードなどのお宝を探し出すという手法です。ダンプスター・ダイビングは、ハッカーが実際に侵入することなくネットワークにアクセスできるため、このような行為を容易に行うことができます。

ダンプスター・ダイバーが発掘する情報は、電話帳やカレンダーのようなありふれたものから、組織図のような一見すると無害なデータまで、多岐にわたります。しかし、この一見無害な情報は、攻撃者がソーシャル・エンジニアリングの手法を使ってネットワークにアクセスする際に役立つことがあります。

さらに、コンピュータが廃棄された場合、サイバー攻撃者にとっての宝庫となる可能性があります。消去されたドライブや不適切にフォーマットされたドライブなど、記憶媒体から情報を復元することが可能です。保存されたパスワードや信頼できる証明書は、コンピュータに保存されていることが多く、攻撃を受けやすい。

廃棄された機器には、TPM(Trusted Platform Module)上に機密データが含まれている可能性があります。このデータは、暗号鍵などの機密情報を安全に保存できるため、組織にとって重要です。ソーシャルエンジニアは、組織が信頼するハードウェアIDを利用して、そのユーザーに対して悪用する可能性があります。

d.人々の恐怖心、貪欲さ、切迫感を利用する

ソーシャル・エンジニアリング攻撃は、人間の要素に依存しているため、実行するのが容易です。サイバー攻撃者は、魅力、説得、脅迫を利用して相手の認識を操作したり、相手の感情を利用したりして、自社に関する重要な情報を入手することができます。

例えば、サイバー攻撃者は、企業の不満を持つ従業員と話をして、隠された情報を入手し、その情報を使ってネットワークに侵入することがあります。

不満を持つ従業員は、現在の雇用主から不当な扱いを受けていると感じている場合、攻撃者に会社に関する情報を提供することがあります。また、不満を持つ従業員は、次の仕事がなく、すぐに仕事を失うことになる場合にも、会社に関する情報を提供することがあります。

より高度なハッキングの方法は、マルウェア、キーロガー、トロイの木馬など、より高度な技術を使用してネットワークに侵入することになります。このような高度なテクニックは、不満を持つ従業員と話をして、ネットワーク侵入に利用できる隠れた情報を得るよりも、はるかに多くの時間と労力を必要とします。

影響力の6大原則

ソーシャル・エンジニアリング詐欺は、人間の心理にある6つの脆弱性を利用したものです。これらの脆弱性は、心理学者ロバート・チャルディーニがその著書「Influence」の中で指摘しているものです。The Psychology of Persuasion "という本の中で、心理学者ロバート・チャルディーニによって特定されたもので、以下の通りです。

互恵性(レシプロシティー- 互恵性とは、好意に報いようとする気持ちのことです。私たちは、自分を助けてくれた人に恩義を感じる傾向があり、彼らを助けることが自分の責任であると感じます。だから、パスワードや財務記録へのアクセスなど、何かを要求されたときに、以前に助けてくれた人であれば、それに応じる可能性が高くなるのです。

コミットメントと一貫性- 私たちは、物事を一度だけでなく、時間をかけて行う傾向があります。私たちは、ある要求の一部、あるいは複数にすでに同意している場合、その要求に同意する可能性が高くなります。もし誰かがあなたの財務記録へのアクセスを以前にも求めたことがあるなら、再度求めることは結局のところそれほど大きなことではないのかもしれません。

ソーシャルプルーフ- 人が周囲の人の誘導に従う傾向があることを利用した欺瞞手法です(「バンドワゴン効果」とも呼ばれる)。例えば、従業員は、他の従業員が要求に応じたという偽の証拠を提示する脅威行為者に動かされる可能性があります。

好きな人- ハッカーは、あなたのメールアドレスに、あなたの上司や友人、あるいはあなたが興味を持っている分野の専門家からのメッセージのように見えるものを送ってくるかもしれません。メッセージの内容は、「やあ!君がこのプロジェクトに取り組んでいることは知っているよ。近いうちに一緒にやりませんか?このメッセージは通常、あなたの助けを求めており、それに同意することであなたは機密情報を渡してしまうことになります。

権威- 人は一般に、権威ある人物を「正しい」存在と見なし、それに従います。このように、ソーシャル・エンジニアリングは、権威ある人物を信頼し、自分たちの望むものを得ようとする人間の傾向を利用することができます。

希少性- 欠乏は人間の本能で、脳に組み込まれている。これは、"今これが必要だ "とか "これを持つべきだ "という感覚です。だから、ソーシャルエンジニアに詐欺に遭うと、お金や情報を一刻も早く手放さなければという焦燥感に駆られるのです。

ソーシャルエンジニアリングに弱い性格とその理由とは?

サイバーセキュリティ企業のフォースポイントXラボの人間行動研究主任であるマーガレット・カニンガム博士によると、ソーシャル・エンジニアリングに最も脆弱な性格特性は、「同意性」と「外向性」であるという。

好感の持てる人は、信頼感があり、友好的で、質問せずに指示に従おうとする傾向があります。このような人は、本物に見えるメールからリンクをクリックしたり、添付ファイルを開いたりする可能性が高いため、フィッシング攻撃の格好のターゲットになります。

また、外向的な人は、他人と一緒にいることを好み、他人を信頼する傾向があるため、ソーシャル・エンジニアリングによる攻撃を受けやすいと言われています。内向的な人ほど他人の動機に疑念を抱きやすく、ソーシャルエンジニアに騙されたり操られたりする可能性があります。

ソーシャルエンジニアリングに強い性格とその理由とは?

ソーシャルエンジニアリングによる攻撃に強い人は、良心的で内向的、そして自己効力感が高い傾向にあります。

良心的な人は、自分自身のニーズや欲求に焦点を当てることで、ソーシャル・エンジニアリング詐欺に対抗できる可能性が最も高いのです。また、他人の要求に応じる可能性も低い。

内向的な人は、自分のために時間を使い、孤独を楽しむので、社会的な合図や影響を与えようとする強引な人に影響されにくく、外的な操作に弱い傾向があるのです。

自己効力感が重要なのは、自分を信じることができるため、他人や外部からの圧力に抵抗できるという自信が持てるからです。

PowerDMARCでソーシャルエンジニアリング詐欺から組織を守る

ソーシャルエンジニアリングとは、従業員や顧客を操作して、データの窃盗や破壊に利用可能な機密情報を漏らすように仕向ける行為です。過去には、銀行や雇用主など、正当な情報源から送られたように見せかけたメールを送信することで、この情報を入手していました。現在では、電子メールアドレスを詐称することははるかに容易になっています。

PowerDMARC は、SPF、DKIM、および DMARC のような電子メール認証プロトコルを導入することで、この種の攻撃から保護することができます。 DMARCp=reject ポリシーを導入することで、ドメイン偽装やフィッシングのリスクを最小化することができます。

ソーシャルエンジニアリング攻撃から自分自身、会社、そして顧客を守ることに興味があるのなら、私たちの DMARC無料トライアルをお試しください。

/によって

2022年におけるソーシャルエンジニアリング攻撃の種類

ソーシャル・エンジニアリングとは何か、ソーシャル・エンジニアリングとはどのようなものかを簡単に説明します。 

平たく説明すると、ソーシャルエンジニアリングとは、脅威者が心理的な操作で被害者を搾取し、詐取するサイバー攻撃の展開戦術のことを指します。

ソーシャルエンジニアリング。定義と事例

ソーシャルエンジニアリング攻撃とは?

サイバー犯罪者がコンピューターや電子メールシステムをハッキングするのとは対照的に、ソーシャル・エンジニアリング攻撃は、被害者の意見に影響を与え、機密情報を暴露するように操作することで組織されます。セキュリティアナリストによると、年間インターネット上で行われるサイバー攻撃の70%以上がソーシャル・エンジニアリング攻撃であることが確認されています。

ソーシャルエンジニアリングの事例

以下に示す例をご覧ください。

 

ここでは、1時間に1000ドルを稼ぐという約束で被害者を誘い込むオンライン広告を観察することができます。この広告には、被害者のシステムにマルウェアをインストールさせることができる悪質なリンクが含まれています。 

この種の攻撃は、一般にオンラインベイティングまたは単にベイティングと呼ばれ、ソーシャルエンジニアリング攻撃の一種である。 

以下はその一例です。

このように、ソーシャル・エンジニアリング攻撃は、電子メールを媒介として行われることもあります。その代表的なものがフィッシング攻撃です。このような攻撃については、次のセクションで詳しく説明します。

ソーシャルエンジニアリング攻撃の種類

1.ビッシングとスミッシング

今日、あなたの銀行から(と思われる)SMSが届き、リンクをクリックして本人確認をしてください、さもなければあなたの口座は使えなくなります、と言われたとします。このようなメッセージは、サイバー犯罪者が無防備な人々を騙すためによく流布するものです。リンクをクリックすると、銀行情報を要求する偽装ページにリダイレクトされます。攻撃者に銀行情報を提供してしまうと、あなたの口座から資金が引き出されてしまうので、ご注意ください。 

同様に、Vishing(ボイスフィッシング)は、SMSの代わりに電話を通じて行われるものです。

2.オンライン・ベイティング/ベイト 

私たちは毎日、ウェブサイトを閲覧していると、さまざまなオンライン広告に出会います。それらのほとんどは無害で、本物ですが、ロットの中に隠れていくつかの悪いリンゴがあるかもしれません。これは本当であるにはあまりにも良いと思われる広告をスポッティングすることによって容易に識別することができる。彼らは通常、そのようなジャックポットを打つ、または大幅な割引を提供するようにばかげたクレームやルアーを持っています。

これは罠かもしれないことをお忘れなく(別名a ).もし、何かが良すぎるように見えるなら、それはおそらく真実です。したがって、インターネット上の疑わしい広告には近づかないようにし、クリックしないようにするのがよいでしょう。

3.フィッシング

ソーシャル・エンジニアリング攻撃は、多くの場合、電子メールを介して行われ、フィッシングと呼ばれています。フィッシング攻撃は、電子メールそのものが存在するのとほぼ同じ期間、世界規模で大混乱を引き起こしてきました。2020年以降、電子メール通信の急増により、フィッシングの発生率も急上昇し、大小さまざまな組織を欺き、毎日のようにニュースを賑わしています。 

フィッシング攻撃は、スピアフィッシング、ホエーリング、CEO詐欺に分類され、それぞれ組織内の特定の従業員、会社の意思決定者、CEOになりすます行為を指す。

4.ロマンス詐欺

米連邦捜査局(FBI)は、インターネット恋愛詐欺を「犯罪者がネット上で偽の身分を装い、被害者の愛情や信用を得るために行う詐欺」と定義しています。その後、詐欺師は恋愛関係や親密な関係にあると錯覚させ、被害者を操ったり、盗んだりする" と定義しています。 

ロマンス詐欺は、ソーシャル・エンジニアリング攻撃に分類されます。2021年、ロマンス詐欺は、その年に最も金銭的な被害を受けたサイバー攻撃として1位を獲得し、ランサムウェアがそれに僅差で続きました。

5.スプーフィング

ドメインスプーフィングとは、高度に進化したソーシャルエンジニアリング攻撃の一種です。これは、攻撃者が正当な企業ドメインを偽造し、送信元組織に代わって顧客にメールを送信するものです。攻撃者は、被害者に、そのメールが本物の送信元、つまり、被害者が信頼している会社から送られてきたものだと信じ込ませるように操作します。 

なりすまし攻撃は、企業の独自ドメインからメールが送信されるため、追跡が困難です。しかし、トラブルシューティングの方法はあります。業界の専門家が推奨する一般的な方法の1つは、メールサーバーを利用してスプーフィングを最小化することです。 DMARCの設定を行います。

6.プレテクシング

プリテクスティングは、ソーシャルエンジニアリング攻撃の前身と言えるものです。これは、攻撃者が会社の機密情報を要求するために、架空のストーリーを織り交ぜたものです。 ほとんどの場合、電話を介して行われ、攻撃者は顧客や従業員になりすまし、会社の機密情報を要求します。

ソーシャルエンジニアリングでよく使われる手法は何ですか?

ソーシャルエンジニアリングで最もよく使われる手法がフィッシングです。フィッシングがいかに世界的な脅威となっているかを理解するために、いくつかの統計を見てみましょう。

  • CISCOが発表した「2021 Cybersecurity Threat Trends」レポートでは、データ漏洩の実に90%がフィッシングの結果として起きていることが強調されています。
  • IBMは、2021年に発表した「Cost of a Data Breach Report」の中で、最も財務的コストの高い攻撃経路のタイトルをフィッシングに委ねました。
  • 年々、フィッシング攻撃の割合が400%増加していることが、FBIの報告で判明している

ソーシャルエンジニアリング攻撃から身を守るには?

設定できるプロトコルとツール 

  • SPF、DKIM、DMARCなどの電子メール認証プロトコルを組織で導入することができます。DMARCレコードを無料で作成するには DMARCレコードジェネレーター.
  • を実行します。 DMARCポリシーをp=rejectにすることで、ドメイン偽装やフィッシングメールの攻撃を最小限に抑えることができます。
  • ウイルス対策ソフトウェアでコンピュータシステムを確実に保護する

あなたができる個人的な対策

  • 一般的なソーシャルエンジニアリング攻撃の種類、攻撃ベクトル、警告サインに対する組織内の認識を高める。
  • 攻撃のベクトルや種類を知る。ナレッジベースにアクセスし、検索バーに「フィッシング」と入力してエンターキーを押すと、今すぐ学習を開始できます。  
  • 外部のウェブサイトでは機密情報を絶対に送信しない
  • 携帯端末の発信者番号通知アプリケーションを有効にする
  • 銀行が電子メール、SMS、電話などで口座情報やパスワードの提出を求めることは決してありません。
  • メールのFromアドレスとReturn-pathアドレスが一致しているか、常に再確認してください 
  • 疑わしい電子メールの添付ファイルやリンクは、その出所の信憑性を100%確認するまでは決してクリックしないこと
  • ネット上で交流があり、実生活で知らない人を信用する前に、よく考えてみてください。
  • HTTPS接続で保護されていないウェブサイトを閲覧しない(例:http://domain.com)

/