標的型サイバー攻撃を理解する:スピアフィッシングとBEC
デジタル環境における標的攻撃のリスクについて学ぼう。
― 1 分で読む
目次
最近のオンライン世界では、サイバー犯罪が深刻な問題になってるよね。サイバー攻撃は、財政的損失を引き起こしたり、業務を妨害したり、貴重な情報を盗んだりすることがあるんだ。これらの攻撃の多くは、ビジネスがよく使うメールから始まるんだけど、スピアフィッシングやビジネスメール詐欺(BEC)っていう危険なメールの脅威があるんだ。残念ながら、これらの用語について明確な定義がないから、セキュリティ専門家や研究者がこうした攻撃に対処するのが難しいんだ。このアーティクルの目的は、これらの用語を明確にし、攻撃者が使う手法を説明して、こうした標的攻撃を見つける方法について話すことだよ。
サイバー犯罪の増加
人々がオンラインで買い物や財務管理をするようになったことで、サイバー犯罪がより一般的になってきたよね。犯罪者は、メールみたいな簡単なツールを使って、世界中のどこでも犠牲者に接触できるんだ。彼らの狙いは、ログイン情報や個人データなどの敏感な情報を手に入れて、金銭的利益を得ることだよ。特にウクライナ侵攻のような世界的な出来事の時期に、サイバー犯罪は深刻な問題になってるんだ。
毎日、個人や企業は様々なサイバー脅威に直面しているよ。これには、偽の電話、怪しいテキストメッセージ、リンクをクリックするよう促す疑わしいメールなどが含まれるんだ。多くのこれらの攻撃は、メールを使って被害者にログイン情報を教えさせたり、デバイスに有害なソフトウェアをインストールさせたりするんだ。ほとんどの偽メールは、広いオーディエンスに大量に送信されるけど、一部の攻撃は稀で特定の個人をターゲットにしてるんだ。これらの攻撃はスピアフィッシングやBECとして知られているよ。
フィッシングの理解
フィッシングという用語は、1990年代から存在してるんだ。これは、メールなどの詐欺的なコミュニケーションを通じて敏感なデータを取得しようとする試みを指すよ。フィッシング攻撃は、通常、よく知られた企業や政府機関などの信頼できる存在を装うことが多いんだ。目的は、受取人に銀行口座情報や社会保障番号などの個人情報を明かさせることだよ。
フィッシングメールは、多くの人に一度に送信されることが多く、パーソナライズされていないから見分けやすいんだ。たとえば、使っていない銀行からのメールが来たら、疑いを持つよね。フィッシングは一般的な脅威だけど、財政的影響は限定的であることが多いんだ。
フィッシング攻撃は、ノンターゲット攻撃とターゲット攻撃の2つのカテゴリーに分けられるよ。ノンターゲット攻撃は広いオーディエンスを狙い、ターゲット攻撃は特定の個人にパーソナライズされてるんだ。
ターゲット攻撃:スピアフィッシングとビジネスメール詐欺
ターゲット攻撃は、一般的なフィッシングとは違うんだ。スピアフィッシングは、特定の個人や組織を狙った攻撃で、情報を明かさせるために非常にパーソナライズされたメッセージが使われるよ。ビジネスメール詐欺は、攻撃者が会社の誰か、しばしば高位の役員を装って、被害者を騙してお金の送金などをさせる似たような脅威なんだ。
こうした攻撃は、大きな財政的損失につながることがあるよ。例えば、スピアフィッシングとBECは、2016年から2021年までに430億ドル以上の損失をもたらしたって報告されてるんだ。これらの攻撃は稀だけど、非常に有害なんだ。FacebookやGoogleのような大企業もBEC攻撃の被害にあったことがあるんだよ。
ターゲット攻撃の特徴
ターゲット攻撃にはいくつかのユニークな特徴があるよ:
パーソナライズ: これらの攻撃は、特定の個人を欺くためにパーソナライズされてる。攻撃者はターゲットについての情報を集めて、メッセージをより信じやすくするんだ。
なりすまし: 攻撃者は、同僚や役員などの信頼されている人を装って、被害者の信頼を得る。
高度なテクニック: 攻撃者は、犠牲者を操るために高度なソーシャルエンジニアリング手法を使うんだ。
稀少性: ターゲット攻撃は一般的なフィッシング攻撃よりも頻繁には発生しないので、見つけるのが難しい。
ソーシャルエンジニアリングの手法
攻撃者は、しばしば人々を操作して信頼を得て、敏感な情報を明かさせるためにソーシャルエンジニアリングに頼るんだ。以下は、ターゲット攻撃で使われる一般的な手法だよ:
権威: 攻撃者は、会社のCEOなどの権力を持つ人になりすまして、被害者に要求を従わせようとする。
緊急性: 緊急性を作り出すことで、被害者にすぐに行動させる圧力をかけて、成功率を上げるんだ。
希少性: 限られた時間のオファーや機会を提示すると、被害者は取り残されることを恐れて急いで行動するかもしれない。
コミットメント: 攻撃者は、小さな要求から始めて、その後大きな要求に応じさせようとすることがあるんだ。
好意: 攻撃者が被害者の知っている人や尊敬している人になりすますと、被害者はそのメッセージを信じやすくなるよ。
返報性: 攻撃者は、被害者が恩を返したくなるような価値のあるものを提供することがある。
ターゲット攻撃の種類
ターゲット攻撃にはいろんな形があるよ。以下は、いくつかの一般的な例だ:
CEO詐欺
CEO詐欺では、攻撃者が企業のCEOや他の高管に成りすまして、送金などの財務的行動をさせるために迫るんだ。特に財務部門の従業員に対して、緊急な言葉を使って迅速な取引を促すことが多いよ。
W-2詐欺
この攻撃は人事部門を狙って、従業員の個人情報を含む敏感な税務書類を集めるんだ。攻撃者は役員や外部コンサルタントになりすまして、これらの書類を要求することで、身分盗用のリスクを生むんだ。
ギフトカード詐欺
このシナリオでは、攻撃者が従業員に対していろんな理由でギフトカードを買うように頼むんだ。緊急の状況を悪用して従わせることが多いよ。従業員はカード番号やPINを提供するように騙されるんだ。
給与詐欺
攻撃者は従業員になりすまし、給与を詐欺的な口座に振り込むように指示するんだ。緊急性は迅速な行動を促す重要な要素になることが多いよ。
弁護士詐欺
弁護士詐欺では、攻撃者が弁護士になりすまして、未払いの請求書の支払いを要求したり、機密情報を集めたりするんだ。権威と緊急性の組み合わせが、ターゲットに対して簡単に操ることを可能にするんだよ。
ターゲット攻撃の検出
ターゲット攻撃はパーソナライズされているため、検出が難しいんだ。多くの従来のセキュリティシステムは、バルクフィッシングメールの典型的なパターンを認識することに依存してるから、こうした攻撃を見逃す可能性が高いよ。
ターゲット攻撃を特定するためにいくつかの手法が使われるよ:
行動プロファイリング: システムは、過去のメールのやり取りを分析して、攻撃を示す可能性のあるコミュニケーション行動の偏りを検出できるんだ。
特徴抽出: メールコンテンツから、送信者の身元、テキスト内容、リンクなどの様々な特徴を抽出して、疑わしいメールを特定するのに役立つんだ。
機械学習: 機械学習モデルは、大規模なデータセットでトレーニングされ、歴史的データに基づいて脅威を認識することができる。ターゲット攻撃の極端な稀少性がクラスの不均衡問題を引き起こすけど、これらのモデルは異常を検出するのに役立つことがあるよ。
自然言語処理: NLP技術を使って、メールで使用されている言葉を分析し、内容がターゲット攻撃の既知のパターンに合致しているかを判断できるんだ。
レピュテーションシステム: これらのシステムは、歴史的データや以前のやり取りに基づいて、送信者やリンクの信頼性を評価するよ。
結論
スピアフィッシングやビジネスメール詐欺のようなターゲット攻撃は、企業や個人に深刻な脅威をもたらすんだ。こうした攻撃の特徴や攻撃者が使うソーシャルエンジニアリング手法を理解することで、組織は被害に遭うリスクを減らすことができるよ。
これらの脅威についての認識と教育、そして強力な検出手段の組み合わせが、リスク軽減には欠かせないんだ。組織は、従業員がこれらの攻撃を認識できるようにトレーニングプログラムに投資し、詐欺的行動を迅速に検出するのに役立つ技術ソリューションを導入するべきだよ。そうすることで、セキュリティを強化して、ターゲットサイバー犯罪の被害に遭う可能性を減らすことができるんだ。
タイトル: Targeted Attacks: Redefining Spear Phishing and Business Email Compromise
概要: In today's digital world, cybercrime is responsible for significant damage to organizations, including financial losses, operational disruptions, or intellectual property theft. Cyberattacks often start with an email, the major means of corporate communication. Some rare, severely damaging email threats - known as spear phishing or Business Email Compromise - have emerged. However, the literature disagrees on their definition, impeding security vendors and researchers from mitigating targeted attacks. Therefore, we introduce targeted attacks. We describe targeted-attack-detection techniques as well as social-engineering methods used by fraudsters. Additionally, we present text-based attacks - with textual content as malicious payload - and compare non-targeted and targeted variants.
著者: Sarah Wassermann, Maxime Meyer, Sébastien Goutal, Damien Riquet
最終更新: 2023-09-25 00:00:00
言語: English
ソースURL: https://arxiv.org/abs/2309.14166
ソースPDF: https://arxiv.org/pdf/2309.14166
ライセンス: https://creativecommons.org/licenses/by-nc-sa/4.0/
変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。
オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。