クレデンシャルフィッシング - 増大する脅威
クレデンシャルフィッシングの核心は、エンドユーザーを騙すことを目的としています。 これは通常、ダイレクトメッセージングプラットフォームを通じて行われ、パスワードを盗もうとする一斉の日和見主義的な試みや、被害者の同僚や上司を装った 標的を絞った高圧的なメール など、さまざまな形をとることができます。
ジェネレーティブAIの爆発的な普及以来、攻撃者ははるかに文法的に正しいフィッシングメッセージを作成できるようになり、オンラインサービスでは、ほぼ完璧なログインページを簡単に作成できるようになりました。
攻撃者のツールキットはかつてないほど増えていますが、リモートワーカーや多数のデジタルサービスに依存している企業は、クレデンシャル フィッシング 攻撃に対して一貫して脆弱です。
これは、リモートワーカーの潜在的なログイン経路の数が多いためであり、さらに悪いことに、リモートワーカーは同僚のデスクに頭を突っ込んでメッセージの信憑性を再確認するのが簡単ではないという事実によってさらに悪化します。
クレデンシャルフィッシングの仕組み
すべてのクレデンシャルフィッシング攻撃の大まかなレイアウトは次のとおりです。
- 攻撃者は、さまざまなフィルターを回避するメッセージの下書きを作成します。
- 被害者はメッセージを受信し、それを読み、悪意のあるリンクまたは添付ファイルをクリックします。
- このリンクは、フィッシングサイト(通常はログインページ)につながるか、キーロガーをダウンロードします。
- フィッシングサイトでは、 被害者はログイン資格情報を入力するように求められます。
- 攻撃者はこれらのログイン資格情報を受け取り、被害者の正規のアカウントで使用します。
- 攻撃者は正規のオンラインアカウントにアクセスし、組織の防御に足がかりを得ます。
攻撃が成功するかどうかは、ログインページ、メッセージ、ユーザー自身のコンテキストという3つの主要な部分に分けることができます。
ログインページ
クレデンシャルハーベスティングキャンペーンを成功させるための重要なメカニズムは、ランディングページです。
これは、ユーザーがキャンペーンの正当性に完全に投資し、本物のサイトと同じように行動する必要がある場所です。 一部の攻撃者は、偽のキャプチャ画面を含めるとともに、正規のページのWeb要素を盗むことで、ページの正当性を高めます。
メッセージ
しかし、悪意のあるメッセージも同様に重要で、ユーザーが非常に緊急性の高いログオン要求を受け取った場合、ログインページを急いで移動する可能性がはるかに高くなり、フィッシング攻撃の兆候を見逃すことになります。
電子メールは、商業化されたPIIの盗難が商用電子メールアドレスの大規模なデータベースを簡単に提供しているため、依然として最も一般的な攻撃ベクトルの1つです。 攻撃者は、LinkedInのアカウントからメールアドレスを盗んだり、会社のウェブサイトからメールアドレスをスクレイピングしたりすることがあります。
これらのメールの件名は、いくつかのものを模倣している場合があります。
- 人事部からのお願い
- 決済代行業者からの偽のログイン認証メール
メッセージの本文は、ユーザーを短縮されたURL、非表示のURL、またはダウンロードするファイルに誘導しながら、これを強化します。
ユーザーのコンテキスト
Xeroのパスワード変更を確認すると称するメールは、財務チームのはるかに多くのメンバーを引きつけるでしょうが、 DevOps はGitHubのログイン詐欺に引っかかる可能性が高くなります。
このコンテキストの違いは、組織全体を保護するための戦略を策定するための鍵となります。
クレデンシャルフィッシングに対する3つの防御戦略
最善の防御策は、セキュリティアーキテクチャを使用して動作を強化する という多面的なアプローチを取ります 。
#1:従業員を定期的にトレーニングし、テストする
クレデンシャルフィッシングは、エンドユーザーの多忙なスケジュールと厳しい締め切りを利用するため、エンドユーザー自身の個人的な防御を強化することが非常に重要です。 厳しい締め切りに対してできることはあまりありませんが、従業員が搾取されていることを認識する方法を教えることはできます。
フィッシング教育
フィッシング教育は、フィッシングの基礎的な理解を深め、従業員の意識を高めることを目的としています。 次のことを説明する必要があります。
- クレデンシャルフィッシングの仕組み
- 攻撃者が使用する戦術
- 成功した攻撃が表す脅威
その結果、従業員は潜在的な脅威を認識するための一般的なサイバーセキュリティ知識を得ることができます。
フィッシングトレーニング
一方、フィッシングのトレーニングは、基礎教育にとどまらず、実践的なスキルの開発に取り組みます。
インタラクティブなモジュールとシミュレートされたフィッシングキャンペーンを採用して、危険信号の特定、情報の検証、フィッシング 不正、詐欺、不正行為の回避について従業員をトレーニングする必要があります。 基本的には、教育から得た知識を実社会の状況に応用することです。
#2:多要素認証(MFA)
多要素認証 は、認証プロセスに別のレイヤーを追加します - あなたが知っているもの(つまり、パスワード)を提供する必要があるだけでなく、何かを持っていること(電話など)やあなたが何かであること(指紋を持つ人間のようなもの)をさらに証明する必要があります。
この追加の証拠層により、攻撃者がフィッシング攻撃を成功させた場合でも、アカウントを単純に乗っ取ることが大幅に困難になります。
ただし、MFA に依存している従業員は、マルチデバイスの側面を明示的に引き出す攻撃に対して脆弱である可能性があることに注意してください。 彼らはテキストメッセージを介して不正なリンクをクリックするようにより説得されるかもしれません、そしてこれは彼らが受けるトレーニングに適切に反映される必要があります。
#3:行動分析
攻撃者がユーザーの認証情報を盗み、アカウントへのアクセスを取得すると、一秒一秒がカウントされます。
残念ながら、この段階に達した攻撃を止めることはほぼ不可能であることがわかります。 ユーザーとエンドポイントの行動分析(UEBA)がもたらす違いを明らかにしましょう。
ユーザーとエンドポイントの行動分析
TechCoの従業員であるJordan氏を想像してみてください:彼の典型的な日常業務は通常の午前9時から午後5時までで、主に西海岸の自宅で仕事をしています。 日中、彼は平均 50 MB をダウンロードし、いくつかの主要なクラウド アプリケーションと対話します。 UEBAを導入したTechCoのセキュリティチームは、ジョーダンのアカウントが突然午前2時にログインし、数ギガバイトのデータのダウンロードを開始するタイミングを確認できます。
アナリストは、通常進行している大量のログやネットワークデータの中からこの種の情報を見つけることができませんでしたが、UEBAのソリューションは、ジョーダンのアカウントを自動的にロックダウンし、アナリストに警告することができます。
このようにして、UEBAは、企業の資格情報の盗難や誤用が発生した場合でも、攻撃を単独で特定して防止できます。
チェック・ポイント Harmonyでフルフィデリティ フィッシング ディフェンスを実現
Harmony Endpoint by チェック・ポイントは、今日の非常に複雑なフィッシングの脅威から従業員を保護するために設計された、包括的で統一されたエンドポイント・セキュリティ・ソリューションです。その次世代型保護は、個々の動作ベースラインに準拠していないエンドポイントデバイスを特定して分離する能力により、攻撃者とセキュリティチームの間の競争の場を均等にします。
当社のクレデンシャルフィッシング防止ファーストのアプローチは、各ユーザーがアクセスするWebサイトに保護が及ぶため、 エンタープライズメールセキュリティのリーダーに選ばれました。
Webサイトのリクエストを継続的にヒューリスティックベースで分析することで、クレデンシャルフィッシングだけでなく、エンドポイントに焦点を当てた他のマルウェアを完全に防ぐことができます。 攻撃から組織を保護しながら、セキュリティ運用を簡素化する方法を 、今すぐデモでご覧ください。
フィードバック