TOPSoftware > 「ソーシャルエンジニアリング」、昔ながらの5つの手口と今どき...

Software

「ソーシャルエンジニアリング」、昔ながらの5つの手口と今どきの4つの手口(中)

2022/04/20

Stacy Collett CSO

 コロナ疲れ、リモートワーク、情報過多といった状況の中、企業で働く人々の間でソーシャルエンジニアリングに対する警戒が緩んでいる様子が見受けられる。米セキュリティ企業のProofpointが企業で働く3500人を対象に行った調査によると、2021年に勤務先の企業がメールを使ったフィッシング攻撃を受けたと回答した人は83%で、前年比26ポイント増だった。

前回から続く)

2. 勝手に届くUSBメモリー

Credit: Gerd Altmann
Credit: Gerd Altmann

 米連邦捜査局(FBI)は22年1月、米USPS(米郵政公社)や米UPSの配送物として企業に届く偽の荷物に関する注意喚起をした。米保健福祉省(HHS)からの新型コロナ関連の送付物や、米Amazon.comからの送付物を装ったもので、同封されるUSBメモリーには不正なソフトウエアが仕込まれている。

 このUSBメモリーをパソコンに接続すると、ハッカー集団に会社のネットワークへの侵入を許すことになり、ランサムウエアを送り込まれるとFBIは警告している。この手口で実際に被害に遭った企業があるかどうかは分かっていないが、古典的なソーシャルエンジニアリングの手口が今なお残っていることを、あらためて確認できる。

3. ギフトカード詐欺

 いまだに広く見られ、大きな被害をもたらしているのがギフトカード詐欺だ。Wilson氏によると、例えば次のような流れで詐欺が行われる。幹部をかたる人物が従業員宛てにメールを送付し、ギフトカードの購入を手伝うよう指示する。従業員らにサプライズの報酬を与えるためにギフトカードが必要だという説明のもと、カードを購入し、裏面のスクラッチを削り、番号部分の写真をメールで送るよう要求する。

 「私の感覚では、従業員100人のうち1人は、最初にメールを受け取ったときに返信する。そこから実際にギフトカードを購入するまで進むかどうかは分からない」とWilson氏は言う。それでも、同氏のチームが記録したインシデント件数は、19年1月以降で1万件強に上り、Agariの顧客企業のデータでは、この手のフィッシングの試みは1日に何百件と確認されている。「現在も見られるということは、だまされている人がいるはずだ」(Wilson氏)。

↑ページ先頭へ