TOPNetwork > 「ソーシャルエンジニアリング」、昔ながらの5つの手口と今どき...

Network

「ソーシャルエンジニアリング」、昔ながらの5つの手口と今どきの4つの手口(下)

2022/04/22

Stacy Collett CSO

 コロナ疲れ、リモートワーク、情報過多といった状況の中、企業で働く人々の間でソーシャルエンジニアリングに対する警戒が緩んでいる様子が見受けられる。米セキュリティ企業のProofpointが企業で働く3500人を対象に行った調査によると、2021年に勤務先の企業がメールを使ったフィッシング攻撃を受けたと回答した人は83%で、前年比26ポイント増だった。

前回から続く)

今どきの4つの手口

Credit: Chainarong Prasertthai / Getty Images
Credit: Chainarong Prasertthai / Getty Images

 ソーシャルエンジニアリングは、以前からある手法にひねりを加えた新たな手法が、次から次へと出てくる。今どきの4つの手口を見ていこう。

1. 法的文書への電子署名の依頼

 特にコロナ後に広まった手口として、電子署名関連のソーシャルエンジニアリングがある。DocuSignで文書に署名するよう要求する通知に見せかけて、マルウエアを送るといったものだ。「法的文書への電子署名は増えているものと考えられる。ドキュメントを表示するために必要なプラグインという名目で、マルウエアをインストールさせる手口が見られる」とWisniewski氏は指摘する。

2. 未回収の売掛金

 企業の取引先を狙う手口もある。Wilson氏によると、この詐欺は次のような流れで進む。まずは、企業で売掛処理などを担当している従業員宛てに、幹部をかたる人物からのメールが届く。回収できていない売掛金を確認したいとの名目で、顧客企業ごとの売掛金と支払期限を一覧表にまとめて送るよう求める内容となっている。そのうえで悪意のある人物はリストにあった顧客企業に対し、本物に似たドメイン名で連絡を取って、支払いを促す。

 「彼らは、売掛金の金額、発生日、支払い条件などの情報を把握したうえで、リストに出ている企業に対し、『今後はこちらの口座へのACH送金のみ受け付ける』と通知する。この連絡を受けはた企業側、示された情報がすべて正しいことから、本物だと信じてしまう」。この手口では被害が広がる傾向があるとWilson氏は言う。「最初のフィッシングに遭った企業そのものではなく、その顧客企業にも損害が及ぶという点で、この詐欺は特に危険だ」(Wilson氏)。

↑ページ先頭へ