フィッシング フィッシングとは、電子的な通信において信頼できるエンティティになりすまし、ユーザー名、パスワード、クレジットカード情報などの機密情報を不正に入手しようとする行為。
攻撃者は、銀行や信頼できる企業など、信頼できる情報源から送信されたように見せかけるために、電子メールのなりすましを使用することがよくあります。これらのメールには、正規のログインページを模倣した悪意のあるウェブサイトへのリンクが含まれていることがあります。
攻撃者は、銀行などの信頼できる送信元からと見せかけ、正規のログインページを模倣した悪意のあるウェブサイトへのリンクを含む電子メールを送信する:
リンクをクリックすると、ユーザーを詐欺サイトに誘導し、そこで認証情報を搾取することができる。
AIは、攻撃者が高度にパーソナライズされたものを作成することを可能にする フィッシング メールを作成することができます:
AIモデルがターゲットのソーシャルメディア・プロフィールを分析して フィッシング メールを送る
フィッシングとは フィッシング 電話や音声メッセージを使って個人を欺き、機密情報を開示させたり、セキュリティを侵害する行為を実行させたりする攻撃。
攻撃者はボイス・オーバー・インターネット・プロトコル(VoIP)技術を使って発信者IDを詐称し、あたかも正規の銀行から電話がかかってきているかのように見せかける。攻撃者は被害者に電話をかけ、銀行の担当者を装って次のように言う:
「こちらは[銀行名]のセキュリティ部門です。あなたの口座で不審な動きがありました。お客様の資金を保護するため、口座番号、暗証番号、最近の取引明細をご確認ください。"
被害者は、発信者番号と緊急のトーンにより、この電話が本物であると信じ、要求された情報を提供する。その後、攻撃者はこれらの情報を使って被害者の銀行口座にアクセスし、送金したり、不正な買い物をしたりする。
AIはヴィッシングを強化する:
攻撃者がAIを使ってCEOの声をクローンし、従業員にボイスメールを残す:
「こんにちは、【CEOの名前】です。今会議で手が離せないのですが、新しい取引先への緊急の電信送金手続きをお願いしたいのです。詳細はメールに書いてあります。
スピア フィッシング は フィッシング 特定の個人や組織をターゲットとし、パーソナライズされた情報を使って信頼性を高めるものです。
例 攻撃者がソーシャルメディアで従業員を調べ、彼らが最近サイバーセキュリティ会議に出席したことを知る。その後、攻撃者は電子メールを送信します:
パーソナライズされたコンテキストは、従業員がリンクをクリックする可能性を高める。
ホエーリング攻撃は、CEOやCFOのような知名度の高い人物に焦点を当て、彼らの機密情報へのアクセスを悪用することを目的としている。
例 攻撃者がCEOになりすまし、財務部にメールを送信する:
切迫感と権威は、受け手に確認なしに従うよう圧力をかける。
口実工作とは、架空のシナリオを作り、被害者を騙して機密情報を吐かせることである。
例
攻撃者がITヘルプデスクを名乗って従業員に電話をかけてくる:
正当な要求であると判断した場合、従業員はユーザー名とパスワードを開示することができる。
囮捜査は、被害者を罠に誘い込むために、何か望ましいものを約束することを利用する。
例
攻撃者が「第1四半期給与明細」と書かれたUSBフラッシュドライブを会社の駐車場に置き去りにする。好奇心旺盛な従業員がドライブを拾い、自分のコンピューターに挿入すると、知らずにマルウェアをインストールしてしまう。 マルウェア をインストールしてしまう。これにより攻撃者は企業ネットワークへのアクセス権を獲得する。
これらの技術は、人間の信頼を悪用することで、安全なエリアへの不正な物理的アクセスを獲得するものである。
例: 重い箱を運ぶ攻撃者が セキュリティドアに近づく。従業員がドアを開けると、攻撃者はドアを押さえておくよう頼み、適切な認証なしにアクセスを得る。
ウイルスはきれいなファイルに付着し、他のファイルに広がっていく。
Word文書に埋め込まれたマクロウィルスは、文書を開くと起動し、他の文書に感染します。
ワーム は脆弱性を悪用し、ユーザーの操作なしにシステムに感染する。
SQL Slammerworm 、マイクロソフト社のSQLサーバーのバッファオーバーフローの脆弱性を悪用し、広範囲にネットワーク輻輳を引き起こした。
AIは強化する マルウェア 機能:
worm 強化学習を利用して、ネットワーク内で最も効果的な悪用経路を特定し、検出を最小限に抑えながら感染率を最大化するように伝播戦略を適応させる。
トロイの木馬は、一見正当なプログラムのように見えるが、実行されると悪意のある活動を行う。
例 ダウンロードしたゲームにトロイの木馬が含まれており、インストールするとポート 4444 を使ってシステムにバックドアを開く。攻撃者はリモートからシステムにアクセスし、制御することができる。
ランサムウェアはユーザーのデータを暗号化し、復号化キーの支払いを要求する。
例WannaCryはSMBプロトコルの脆弱性を悪用し、急速に拡散した。ファイルを暗号化し、ビットコインの支払いを要求する身代金メモを表示した。
AIがランサムウェアを改善
ランサムウェアはシステムファイルを分析し、被害者にとって最も価値のあるファイルを予測するためにAIを使用して、重要な資産を最初に暗号化する優先順位を決める。
スパイウェアはユーザーの行動を監視して情報を収集する。
例 スパイウェアアプリケーションがブラウザの履歴、キー入力、スクリーンショットを記録し、そのデータを攻撃者に送信する。
アドウェアは不要な広告を表示します。
例 アドウェアはウェブページに広告を挿入したり、検索クエリを広告サイトにリダイレクトしたりします。
ルートキットは、オペレーティング・システムを変更し、悪意のあるプロセスやファイルを検出ツールから隠します。
例 カーネルモードのルートキットは、次のようなシステムドライバーを置き換えます。 ndis.sys ネットワーク・トラフィックを傍受し、タスク・マネージャーやアンチウイルス・ソフトウェアなどのツールからその存在を隠す。
ボットネットは、攻撃者(ボットマスター)が制御する多数の感染デバイス(ボット)で構成され、協調行動を実行します。
例 Miraiボットネットは、デフォルトの認証情報を使ってカメラやルーターなどのIoTデバイスに感染。DDoS攻撃にも利用され、1Tbpsを超えるトラフィックで標的を圧倒している。
DoS攻撃はシステムのリソースを圧倒し、サービスを利用できなくする。
例 攻撃者が標的のサーバーにSYNリクエストを連続して送信し、半開きのコネクションを残してリソースを消費する。(SYNフラッド)
AIはDoS攻撃に磨きをかける:
AI主導 ボットネットは、正規のトラフィックパターンを模倣するためにパケットサイズと間隔を調整し、異常ベースの侵入防御システムによる検出を回避する。
DDoS攻撃は、複数の侵害されたシステムを使用して攻撃を増幅する。
例 ボットネットは、ターゲットサーバーのランダムなポートに大きなUDPパケットを送信し、そのポートでリッスンしているアプリケーションをチェックさせ、ICMP「Destination Unreachable」で応答させることで、帯域幅を消費させます。(UDPフラッド)
MitM攻撃では、ハッカーは2者間の通信を密かに中継し、場合によっては改ざんする。
例 攻撃者は、不正な Wi-Fi ホットスポットと SSL ストリッピング技術を使用して HTTPS 接続を HTTP にダウングレードし、機密データを傍受します。(HTTPS スプーフィング)
AIはMitM攻撃を強化する:
AIシステムは暗号化されたトラフィックを分析し、鍵の再利用を示す可能性のあるパターンを検知 、ユーザーが知らないうちに通信を解読する手助けをする。
DNSスプーフィング(またはDNSポイズニング)攻撃では、ハッカーがDNSレコードを改ざんし、トラフィックを詐欺サイトにリダイレクトさせる。
例 DNSサーバーのキャッシュに偽造エントリーを注入することで、ドメイン www.example.com は攻撃者のIPアドレスに解決され、ユーザーを悪意のあるウェブサイトに誘導する。
攻撃者は、自分のMACアドレスと他のホストのIPアドレスを関連付けるために、偽のARPメッセージを送信する。
例 攻撃者は、ゲートウェイのIPアドレスが自分のMACアドレスにマッピングされていることを示すARP応答を送信する。ゲートウェイに意図されたトラフィックが攻撃者に送信され、パケットの盗聴や操作が可能になる。
攻撃者は悪意のあるSQL文を入力フィールドに注入し、バックエンドのデータベースを操作する。
AIは注入ポイントの発見を自動化する:
AIツールがウェブ・アプリケーションをスキャンし、応答から学習して、入力サニタイズなどのセキュリティ・メカニズムを回避するSQLインジェクション攻撃を仕掛ける。
XSS攻撃は、ユーザーのブラウザで実行される悪意のあるスクリプトを注入するものです。
例 攻撃者がフォーラムにコメントを投稿する。他のユーザがそのコメントを閲覧すると、そのユーザのブラウザがスクリプトを実行し、セッションクッキーを攻撃者に送信します。
AIはXSS攻撃を次のように改善する:
AIシステムは、異なるブラウザのバージョンやセキュリティ設定に適応するXSSペイロードを作成し、攻撃の成功率を高める。
CSRFは、認証されたユーザーを騙して、知らないうちにリクエストを送信させる。
例 攻撃者は、ウェブサイトに隠しフォームを作成し、そこにPOSTリクエストを送信する。 http://bank[.]com/transfer ページがロードされたとき。ユーザーが銀行口座にログインしている場合、リクエストは攻撃者の口座に資金を送金する。
RFIにより、攻撃者は脆弱なスクリプトを通してリモートファイルをインクルードし、実行することができる。
攻撃者はパスワードを発見するために、ありとあらゆる組み合わせを試みる。
例 Hydraのようなツールを使って、攻撃者はSSHサーバーを標的にパスワードを取得することができる。
AIは効率を高める:
PassGANのようなモデルは、流出したデータベースのパターンに基づいてパスワードの推測を生成し、パスワード解読に要する時間を大幅に短縮する。
攻撃者は、一般的なパスワードのリストを使用してユーザー認証情報を推測します。
などの一般的なパスワードが記載された複数のパスワードリストをオンラインで見つけることができる。 パスワード, 123456, クワーティ.
攻撃者は、複数のアカウントに対して、これらのパスワードを使ってログイン試行を自動化できる。
攻撃者は、データ侵害で得たユーザー名とパスワードのペアを使用して、他のサービスのアカウントにアクセスする。
例 侵害された電子商取引サイトの認証情報が、銀行ウェブサイトのログインを試みるために使用される。成功の鍵は、ユーザーがサービス間でパスワードを再利用することです。
キーロガーは、パスワードやクレジットカード番号などの機密情報を取得するために、キー入力をキャプチャします。
ソフトウェア・キーロガーはバックグラウンドで静かに動作し、すべてのキー入力を記録し、定期的に攻撃者のサーバーにログを送信します。
パスワード・スプレー攻撃では、ハッカーはアカウントのロックアウトを避けるために、多くのアカウントでよく使われる少数のパスワードを試す。
例 攻撃者は次のようなパスワードを試みる。 ようこそ1! または パスワード2023 組織内のすべてのユーザーアカウントに適用される。
攻撃者は、暗号化されていないWi-Fiネットワーク経由で送信されたデータをキャプチャする。
例 Aircrack-ngを使用して、攻撃者はオープンWi-Fiネットワークからパケットをキャプチャし、平文で送信された電子メールログインを傍受する。
Bluetoothプロトコルに脆弱性があり、攻撃者が認証なしに接続できる。
例 ハッカーが Bluetooth の実装上の欠陥を悪用し、パッチが適用されていないデバイス上でリモートでコードを実行する。(BlueBorne攻撃)
悪意のあるアプリケーションや侵害された正規のアプリケーションがモバイルデバイスに感染する可能性がある。
例 人気アプリのトロイの木馬化されたバージョンが過剰なパーミッションを要求し、メッセージの読み取り、連絡先へのアクセス、攻撃者へのデータ送信を可能にする。
IoTデバイスには強固なセキュリティ対策がないことが多く、標的になりやすい。
例 攻撃者がデフォルトの認証情報でスマートサーモスタットにアクセスし、それを軸にネットワーク上の他のデバイスをスキャンして攻撃する。
侵害されたIoTデバイスは、強力なボットネットの一因となる。
例 Reaperボットネットは、IoTデバイスの脆弱性を悪用し、大量のDDoS攻撃を仕掛けることができるネットワークを構築した。
攻撃者は、設定ミスや脆弱性のあるクラウドサービスを標的にする。
例 Amazon S3 バケットが正しく設定されていない場合、一般ユーザーによる読み取り/書き込みアクセスが許可され、機密データが公開されます。
設定を誤ると、不正アクセスや権限の昇格につながる。
例 攻撃者は、AWSの過度に寛容なIAMロールを悪用して特権を昇格させ、クラウド・リソースを制御する。
今日、AIはサードパーティのソフトウェアをスキャンして悪用可能な欠陥を探し、機械学習は複雑なシステムへの悪意のあるコードの挿入を自動化し、攻撃者がサプライチェーンの要素を侵害してターゲットに侵入することを容易にしている。
Zero-day 攻撃は、ベンダーが知らないソフトウェアの脆弱性を利用する。
例 StuxnetWorm、複数のzero-day 脆弱性を利用して、イランの核遠心分離機を標的とし、損害を与えた。
暗号化アルゴリズムを破る
攻撃者は暗号化プロトコルや実装の弱点を突く。
例 パディング・オラクル攻撃は、暗号操作におけるパディング・エラーを悪用し、鍵なしで暗号文を解読する。
中間者攻撃は、プロトコルの弱点を利用してSSL/TLSを危険にさらす。
例 POODLE 攻撃は、TLS 接続をある種の攻撃に対して脆弱な SSL 3.0 にダウングレードし、攻撃者がセッション・クッキーを解読できるようにします。
攻撃者はデバイスを物理的に改造して脆弱性を導入する。
例 例:システムメモリやデータへの不正アクセスを提供する悪質なPCIeカードの設置。
暗号化されていないデバイスは、紛失や盗難の際に重大なリスクをもたらす。
例 暗号化されていない顧客データが入った USB ドライブを紛失し、権限のない個人によって発見された場合、データ漏洩につながる。
人工知能(AI)Machine Learning ML)は、サイバーセキュリティを含む多くの産業に革命をもたらした。AIが防御のための強力なツールを提供する一方で、攻撃者は自らの攻撃手法を強化するためにAIをますます活用している。
サイバー攻撃手法にAIを組み込むことで、脅威の高度化と有効性が大幅に向上する。攻撃者は自動化、適応性、成功率の向上のためにAIを活用し、従来のセキュリティ対策に挑戦する。
従来の攻撃手法とAIの影響の両方を理解することで、企業は進化するサイバー脅威から身を守るための強固な戦略を策定することができる。
Vectra 高度な人工知能と機械学習を活用し、前述の攻撃手法に検知 サイバー脅威検知 。ネットワークトラフィック、ユーザー行動、システムインタラクションを継続的に監視することで、Vectra プラットフォームVectra 異常や悪意ある活動をリアルタイムで特定します。ソーシャルエンジニアリング、AImalware、ネットワークベース攻撃、Webアプリケーションの脆弱性悪用、認証情報の悪用、高度な持続的脅威(APT)、内部者脅威、サプライチェーン侵害、IoTの脆弱性といった兆候を検知します。
AI主導 分析により、Vectra AIは、攻撃者が手口を強化するためにAIを採用した場合でも、従来のセキュリティツールが見逃す可能性のあるパターンや逸脱を認識することができます。このプロアクティブなアプローチにより、企業は従来のサイバー攻撃とAIを活用したサイバー攻撃の両方を迅速に特定して対応できるようになり、脅威が進化する状況下でセキュリティポスチャを大幅に改善することができます。
最も一般的なサイバー攻撃手法には次のようなものがある。 フィッシングランサムウェア、malware、サービス拒否(DoS)/分散型サービス拒否(DDoS)攻撃、中間者(MitM)攻撃、SQLインジェクション、クレデンシャル・スタッフィングなどである。
フィッシング フィッシング攻撃は、信頼できる情報源から送信されたように見せかけた詐欺的な通信を、多くの場合電子メールを介して送信し、機密情報を盗み出すものである。対策としては、以下のようなことを認識するようユーザーを教育することが挙げられます。 フィッシング 対策としては、フィッシング攻撃を見分けるためのユーザー教育、高度な電子メールフィルタリングソリューションの導入、アカウント保護のための多要素認証(MFA)の利用などが挙げられます。
ランサムウェアは、金銭が支払われるまでコンピュータシステムやファイルへのアクセスを遮断するように設計された悪意のあるソフトウェアの一種です。他のマルウェアとは異なり マルウェア とは異なり、身代金を要求せずにデータを盗んだりシステムに損害を与えたりする可能性がある。ランサムウェアは攻撃の被害者に明示的に通知し、データの解放やシステムの復旧のための支払いを要求する。
DoS/DDoS攻撃に対する防御には、攻撃トラフィックを吸収・分散できるDDoSミティゲーション・サービス、レート制限の導入、突然のトラフィック急増に対応できる十分な帯域幅の確保など、堅牢なネットワーク・セキュリティ対策の導入が必要です。
MitM攻撃は、攻撃者が2者間の通信を傍受して盗聴したり、情報交換を操作したりすることで発生する。防止策としては、HTTPS のような暗号化プロトコルの使用、安全な通信のための VPN の採用、安全な接続確認の重要性に関するユーザーの教育などがある。
SQLインジェクション攻撃は、悪意のあるSQLクエリを入力フィールドに挿入し、データベースの脆弱性を操作または悪用するものです。防御策としては、プリペアドステートメントやパラメータ化されたクエリの使用、定期的なコードレビューや脆弱性評価の実施、ウェブアプリケーションファイアウォール(WAF)の導入などが挙げられます。
クレデンシャル・スタッフィング攻撃のリスクを軽減するには、強力なパスワード・ポリシーの実施、MFAの義務付け、異常なログイン試行の監視、異なるアカウントに固有のパスワードを使用することの重要性に関するユーザーの教育が必要です。
AIとMLは、サイバー攻撃の兆候を示す異常なパターンや行動の検出を自動化し、脅威インテリジェンスを向上させ、インシデントへの迅速かつ効率的な対応を可能にすることで、サイバーセキュリティの防御を大幅に強化することができる。
サイバーセキュリティ意識向上トレーニングは、潜在的な攻撃を認識し回避するための知識をユーザーに身につけさせることで、サイバー脅威と戦う上で重要な役割を果たします。
組織は、攻撃を封じ込め、評価し、脅威を根絶し、影響を受けたシステムを復旧させ、今後のセキュリティ対策を改善するためにインシデントを分析するための即時のステップを含む、明確に定義された計画でインシデント対応に取り組むべきである。