TOPセキュリティ > ソーシャルエンジニアリング、4つの最新手口(中)

セキュリティ

ソーシャルエンジニアリング、4つの最新手口(中)

2014/05/21

Stacy Collett CSO

 「このパソコンのファイルを預かった。返してほしくば身代金を払え」「お使いの銀行口座の預金が盗まれている。ここをクリックして送金処理を中止せよ」「ご友人が逝去された。この葬儀社のサイトで詳細を確認されたし」――。最近のソーシャルエンジニアリングは手口がますます卑劣になっている。

前回から続く)

 ファイルのバックアップが週1回という企業は、こうした攻撃でその間隙を突かれ、身代金を支払ってでも解決しようとすることが多い。

 「500ドルを支払うか、それとも1週間分の成果物を失うかという選択になる。それも、複数の社員の成果物という場合もある」と、セキュリティ関連のトレーニングを手がける米KnowBe4の共同創業者、Stu Sjouwerman氏は言う。

 法律事務所の事件で使われたのはAT&Tの偽アドレスだったが、他の通信会社の名をかたった同様のフィッシング詐欺も起きていると同氏は話す。Symantecの推計によると、Cyberlockerのようなランサムウエアによって、犯罪者は2013年後半の1カ月間だけで3万4000ドル以上を稼いだという。

 Symantecによると、スピアフィッシングの標的となった企業を規模別で分類した場合、社員数500人以下の中小企業が占める割合は、2012年の36%から、2013年は41%へと上昇した。一方、社員数が2500人を超える大企業の割合は、2011年と2012年は50%だったが、2013年は39%に下がった。

 米PhishMe.comのバイスプレジデント、Scott Greaux氏は、中小企業は2つの課題に直面していると話す。

 「1つは、自社には人々が欲しがるようなものは何もないという思い込みだ。もう1つは、従来型のセキュリティツールを利用してはいるものの、既に古くなっている場合があるということだ。たとえWebフィルタリングを導入していたとしてもだ」

↑ページ先頭へ