TOPセキュリティ > 最近のソーシャルエンジニアリングの手口(後)

セキュリティ

最近のソーシャルエンジニアリングの手口(後)

2021/05/13

Derek Slater CSO

 この記事では、専門家らの話をもとに、最近増えているソーシャルエンジニアリングの手法を7つ紹介する。

前回から続く)

4:サプライチェーンのパートナーへのなりすまし

Credit: CHUYN / Getty Images / AKO9

 サプライチェーンの一角を突く攻撃は、今や大きな問題となっている。この点を指摘するのは、米Sumo LogicのGeorge Gerchow最高セキュリティ責任者(CSO)だ。

 「自らの視界にないものを守るのは簡単ではないし、弱い鎖が1つでもあれば全体も弱い。最近では、信頼を置いているパートナーの名をかたった標的型メールの事例が非常に多い。自社とつながりのある社員になりすましているが、実際は攻撃者だ」

 Gerchow氏が自身の会社で最初に確認したのは、従業員に偽のギフトカードの申し出が届いた事例だ。実際に取引がある本物のパートナーの名をかたったもので、報酬や謝礼を与えるという名目だった。

 攻撃の巧妙さは高まる一方だ。

 「顧客などを支援するチームとの信頼構築や関係形成を狙って、長期間にわたる巧妙な試みがなされている。また、無料アカウントで当社の製品を利用しているサプライヤーになりすまして、ユースケースやシナリオを精査し、社内の専門技術に関わったりもしている」

 こうした信頼関係の確立を通じて攻撃者がもくろんでいるのは、ソーシャルエンジニアリングの手法の効果を高めること、セキュリティ統制を回避する手助けを得ること、標的の企業のシステムを攻撃するマルウエアを送り込むことなどだ。

 大きく報じられたSolarWinds事件は、サプライチェーン攻撃の事例だ。細かく言えば、VEC(Vendor Email Compromise)と呼ばれる種類にあたる。米SolarWindsの幹部が明らかにしたとおり、この攻撃では、同社のメールアカウントの1つが破られ、ビジネスや技術の職務を担っている従業員のアカウントにアクセスするために使われた。

5:ディープフェイクの音声

 最近のソーシャルエンジニアリングでは、ディープフェイクも使われるようになった。特定の人物の見た目や声に酷似した架空の映像や音声をAIで作り上げ、だましに使う手法だ。

 ReblazeのBar Yochay氏によると、本物そっくりのディープフェイクの音声を使った攻撃の懸念は高まっている。初期の成功事例としては、2019年にある企業の従業員がだまされ事件がある。ディープフェイクの声をCEOと信じ込み、海外の口座に多額の送金を行ったというものだ。

 「この音声は、部下宛てのボイスメールとして残されていた。その偽の指示に従ったことで、24万3000ドルを攻撃者に奪われた」

 Gerchow氏は、ディープフェイクの音声で従業員をだまして金銭や機密情報を奪おうとした事例をほかにも確認しているという。今のところは音声のみだが、映像が使われるのも時間の問題だと同氏は考えている。

 「この手の攻撃に関するセキュリティを強化するには、トレーニング、意識向上、自己報告、透明性しかない。セキュリティには扱いやすさが求められる。そして、すべてを記録することももちろん必要だ」

↑ページ先頭へ