脅威者がネットワークにアクセスするために使用する上位2つの手法の1つにフィッシングがあります。このフィッシングからネットワークを守るにはどうすればよいのでしょうか。
これには、攻撃者がよく使う手段であるクレデンシャルの窃盗が関係してきます。
それについては、また後でご説明いたします。
まず、最新のプロッドキャストでは、Vectra AIプロダクト・マーケット・マネージャー、ジョン・マンチーニが、フィッシングがいかに増加しつつあるか、そしてなぜフィッシングが今や世界中のユーザーとSOCチームにとって大きな脅威となっているかについて語る。簡単な概要の中で、ジョンはフィッシングの現状について非常に有益かつ適切な最新情報を提供している:
- フィッシングの歴史
- 今、何が起こっているのか
- 最も賢いエンドユーザーをも欺く攻撃者の新たな手口
- どのように防御するか
フィッシングの起源
フィッシングはデジタル時代の始まりから存在しており、最初のフィッシング攻撃は 1996 年に AOL に対して行われました。このフィッシング攻撃では、「AOHell」というフィッシングキットが使用されました。このキットを使って、攻撃者はユーザーアカウントにアクセスして、やりたいことを何でもできるようになりました。AI エージェントを使用して、AOL メッセージに好きな方法で自動的に返信することもできました。
最終的な目的は、ハッキングの「スクリプトキディ時代」とも言える時代に、ユーザーのアカウントを盗むことでした。金銭的な影響はそれほど大きくなく、主に困らせることを目的としていました。フィッシング攻撃は、攻撃の発信源であったランダムなクレジットカード番号を使用してユーザーが AOL で無制限にアカウントを作成できないようにすることで、最終的に阻止されました。
同じ年に、暗号通貨が登場する前の一種のデジタル通貨であるe-goldという会社が出てきました。e-goldは、現実世界で実際のドル価値を持つ「デジタル」ゴールドをユーザーが転送できるようにしました。しかし、これは一方通行の取引で、e-gold のドル価値が転送されると、その価値を戻す方法はありませんでした。つまり、攻撃者が e-gold ユーザーのウォレットにアクセスすると、攻撃者は e-gold の価値を別のウォレットに送信でき、e-gold アカウント所有者は盗まれたお金を回復する手段がありませんでした。
2001年までには、e-goldで一日に数千ドルが失われていました。e-goldが新規IPのためにワンタイムピンチャレンジを追加し、この動きは阻止されましたが、これは実際には原始的なタイプのMFAに過ぎませんでした。
フィッシングの現状
フィッシングの基本は当時から現在までほとんど変わっていないため、すでにその手法は聞いたことがあるかもしれません。確かに、認証情報の不正使用は、今日の攻撃者がネットワークにアクセスするために最もよく使用する手法です。しかし、前述のように、フィッシング攻撃は攻撃者が認証情報にアクセスできるようにする役割を果たしているため、この 2 つは密接に関連しています。
さらに、フィッシングの 2 つの目的は、エンドポイントにペイロードをドロップするか、認証情報を取得して、純粋に ID に基づいたエンドツーエンドの攻撃を実行することです。つまり、フィッシング攻撃に関しては、基本的に 1996 年当時と現在で状況は同じです。フィッシングキットは以前よりも洗練されていますが、今日でも多くのフィッシング攻撃で使用されている方法です。
オープンソースがフィッシング攻撃をかつてないほど容易にする
たとえば、Gophish や Zphisher などのオープンソース キットを使用すると、キーボードを数回クリックするだけでフィッシング攻撃を実行できます。実際、防御側は、どちらか、または両方を使用して攻撃を模倣し、ユーザーをテストすることがよくあります。これらは非常に使いやすく、カスタムテンプレートやランディングページ、ランディングページとテンプレートの完全なカタログが用意されています。そのため攻撃者は簡単にWebサイトを模倣して認証情報を盗んだり、送信された説得力のある電子メールを模倣したり、キャンペーンを追跡したり、どの電子メールが送信され、どの電子メールが開かれたかを判断したり、パスワードをキャプチャしたり、その他の強力な攻撃機能を実行したりできます。
過去数年間、攻撃者の観点から見ると、フィッシングは、攻撃者に与える影響と機会の点で、ランサムウェアよりも生産的であることが証明されています。電子メールベースの攻撃は、1 回限りのランサムウェアイベントではなく、時間の経過とともに侵害を活用するためのはるかに幅広いメニューを提供します。
新しくも古い現実:フィッシング・アズ・ア・サービス・キット
メールベースの攻撃によって、さらに多くの悪用機会が生まれるという認識から、フィッシング・サービス・ツールの開発と販売が広まりました。攻撃者によって攻撃者のために作成されたPhishing-as-a-Service (フィッシング・アズ・ア・サービス) は、リバース プロキシ、検知回避、リモート実行機能など、高度な攻撃を実行するために攻撃者が必要とする特殊なツールを提供しますが、攻撃者に高度な技術知識は必要ありません。
さらに、さまざまなPhishing-as-a-Service (フィッシング・アズ・ア・サービス) キットが販売されており、100 ドル程度で購入できてしまいます。アップグレード キットは 300 ドル程度で購入でき、これも技術的な知識がなくても誰でも使用できます。ご想像のとおり、今日のキットは 1996 年のフィッシング攻撃キットよりも強力で洗練されています。フィッシング攻撃を完全に阻止することは可能ですが、早期に発見する方法を知っておく必要があります。
これらのPhishing-as-a-Service (フィッシング・アズ・ア・サービス) キットがどのように機能するか、セキュリティ担当者にどのような問題を引き起こすか、そしてデータへの侵害を受けるもしくは盗まれる前に Vectra AI がどのようにキットを無力化できるかについて、詳しくは動画でご確認ください。