恐るべき「4つのサイバー攻撃」、組織を守るためにするべきこと
業界問わず増加傾向の「プリテキスティング」
■3. プリテキスティング セドヴァによれば、プリテキスティング攻撃は、捏造されたストーリー、または口実(プリテクスト)を用いて被害者の信頼を獲得し、電信送金の送金やファイルへのアクセス許可など、攻撃者のために何かをするようそそのかすことだ。 2023年に起きた大規模なサイバー攻撃では、犯人は従業員になりすましてヘルプデスクへ電話をかけ、有効な認証情報を入手し、システムにアクセスしてウイルス感染を引き起こした。犯人はこの策略を実行するため、従業員のリンクトインのプロフィルにあった情報を使った。 プリテキスティングは、業界を問わず増加傾向にある。ベライゾンのリポートによると、ソーシャルエンジニアリング分野では、電子メールによるフィッシングとプリテキスティングが、インシデントの73%を占めているという。 ■4. ディーブフェイク この種の攻撃は、コールセンターや、音声やスピーチを認証方法として使用するカスタマーサポート機能を持つ企業でよく見られる、とセドヴァは言う。ある多国籍企業では2024年はじめ、ディープフェイク技術を使って同社のCFOを装った攻撃者が、財務部門で勤務する従業員とビデオ会議で通話し、2500万ドル(約35億6400万円)をだましとった。 ■個々のリスクレベルに合わせた個別トレーニング セキュリティチームは、フィッシング詐欺から従業員を守るだけでなく、攻撃に引っかかりやすい従業員や、頻繁に攻撃を受ける従業員の保護にも力を入れるべきだ、とセドヴァは指摘する。マイムキャストでは最近、セキュリティチームが従業員を教育し保護するのを支援する「ヒューマン・リスク・マネジメント」プラットフォームを導入した。 このプラットフォームは、データをセキュリティツールに集約し、どの従業員がリスクの高いセキュリティ上の決定を行なっているか、誰が頻繁に攻撃を受けているかを判断する、とセドヴァは説明する。 債権者が各顧客に信用スコアを与えるように、このプラットフォームも、各従業員にセキュリティスコアを与え、セキュリティチームが各従業員のリスクレベルに合わせたトレーニングとセキュリティ管理を提供できるようにする。 セドヴァは、最も脆弱とされる「8%の従業員」にセキュリティチームが関与することでサイバー攻撃を減らせれば、企業はすぐに投資効果を実感することができると話す。 「チームの焦点、情報インプット、リソースを最大限にして、リスクの数を真に減らすことができる」とセドヴァは語った。
Lisa Rabasca Roepe