TOPセキュリティ > 最近のソーシャルエンジニアリングの手口(前)

セキュリティ

最近のソーシャルエンジニアリングの手口(前)

2021/05/11

Derek Slater CSO

2:ブラウザーの通知の悪用

 近年は、Webサイトを見ている時に、サイトからの通知を許可するかどうかという確認メッセージを目にする機会が増えた。本来は、サイトと利用者とのつながりを維持したり、最新情報を伝えたりするための機能だが、現在はソーシャルエンジニアリングにも使われるようになっている。

 「プッシュ通知とも呼ばれるこの機能は、凶器にもなり得る。問題は、何も考えずに通知の『許可』ボタンをクリックするユーザーが多いことだ」とCarpenter氏は言う。現在では、Webブラウザーの動作や表示に関しては、ある程度警戒しているユーザーも多いものの、こうしたプッシュ通知は、ブラウザーからというよりは、システム本体からのメッセージのように見える。

 簡単には通知を許可しないユーザーにも「許可」ボタンを押させるよう、攻撃者は策を講じている。例えば、通知の許可ではなくCAPTCHA(人間であることの判別)のためのボタンだと説明したり、「許可」と「拒否」を途中で入れ替えたりといった方法だ。

 こうして許可を得た攻撃者は、次々と通知を送り込む。マルウエアの配布やフィッシングを目的としたメッセージであることが多い。

3:コラボレーション詐欺

 共同作業で仕事を進める分野のプロフェッショナルを標的として、コラボレーションを呼びかけるふりをして悪事を働く手口だ。Alashe氏によると、デザイナーや開発者のほか、セキュリティ研究者が対象になる場合もあるという。

 コロナ禍で在宅勤務が広がったこともあり、リモートでのコラボレーションに対して、人々はさほど違和感を覚えなくなった。その時流をうまく捉えたのがこの手口だ。

 「犯人は、例えば開発者に向けて、悪質なコードが入ったVisual Studioのプロジェクトのファイルを送る。開発者がプログラムを自ら実行することで、マシンは直ちに感染する。結局のところ、この攻撃は、プロジェクトに打ち込んで誰かの役に立ちたいという意欲やニーズを悪用している」

 米セキュリティ企業Reblazeの共同創業者で最高技術責任者(CTO)のTzury Bar Yochay氏によると、この手の事例は巧妙に練られていることが多く、細部まで注意が払われているという。

 同氏によると、積極的に活動している研究者になりすました攻撃者が、第三者から認められた研究に従事しているように見せかけて、社会的証明(ソーシャルプルーフ)を利用しているという。業界関係者の記事をゲスト投稿として掲載したブログや、Twitterアカウント、YouTube動画、LinkedIn、Discordなどを駆使する。攻撃の標的となった人は、最初は疑わしく思っていても、一見多彩な活動の数々を目にして、安心するかもしれない。

翻訳:内山卓則=ニューズフロント

↑ページ先頭へ