はじめに
無害と思える個人用デバイスの業務使用(Bring Your Own Device: BYOD)からソーシャルエンジニアリング攻撃まで、サイバー脅威は身近にあり、それは最も疑いのないところから忍び寄ることが多くなっています。このような脅威は広範囲に広がっているだけでなく、それに特化した攻撃はさらに複雑で威力を増しています。大企業でも、巧妙なソーシャルエンジニアリング攻撃やデバイスの誤操作によって引き起こされる潜在的な大被害を免れることはできません。
人間の弱さを避けて通ることはできません
企業規模を問わず、ビジネスの場では多くの潜在的なシステムの弱点や脆弱性が悪用されることがあります。脆弱な部分の中には、検出するために高度な技術的知識を必要とするものもあるため、攻撃への防御対策が困難なものもあります。しかし、その他多くの弱点は悪用されやすい上に見過ごされがちで、攻撃者にとっては手近な攻撃対象となっています。
残念なことに、そうした脆弱性においては人間が常に弱点となっており、簡単に悪用され、知らずに企業をリスクにさらすことがあります。これには攻撃者がスミッシング(SMSフィッシング)やロボコール(自動音声通話)攻撃などの巧妙な攻撃で容赦なく企業を標的にする場合や、従業員が単に業務を簡単にするためにセキュリティツールを使用しない場合などがあります。今日のリモート/ハイブリッドの業務形態では、従業員の生産性を高め、ハードウェアコストを削減するためにBYODポリシーが広く導入されていますが、これらの理由が必ずしも実際に当てはまるとは限りません。BYODはメリットをもたらす一方で重大なサイバーリスクをもたらす可能性があるのです。
ソーシャルエンジニアリング:より巧妙に、より危険に
ソーシャルエンジニアリングがますます巧妙になるにつれて(そして今では、人工知能(AI)とディープフェイクを使用して、非常に説得力のあるなりすましを作成することが可能)、最も賢明なユーザでさえ、このような攻撃に気づくことが困難になっています。
攻撃者は通常、組織内の最も弱い部分を探し求めます。それには、不満を抱えた従業員、業務で使用する個人用デバイスの紛失、知り合いと通信していると思い込んでいる経営幹部など、人的要素が関連することがよくあります。弱点がどこにあろうと、フィッシング(メール/メッセージ)、ビッシング(電話/音声)、スミッシング(テキスト/SMS)攻撃は、攻撃者がアクセスする絶好の手段になります。たとえば、あるグローバルなライドシェアリング企業のネットワークは、2022年後半、個人所有のデバイスを使用していた契約社員が狙われ侵害されました。デバイスがマルウェアに感染した後、攻撃者は、ダークウェブでその契約社員の企業パスワードを購入しました。多要素認証のリクエストを何度も拒否したのですが、最終的にその契約社員がリクエストを承認したため、攻撃者はネットワークに侵入してしまったのです1。
別の例として、グローバルなメディアエンターテインメント企業では、ハッカーが従業員になりすまし、ITヘルプデスクを騙してユーザのパスワードをリセットさせたため、コンピューターシステムを10日間シャットダウンせざるを得ないという事件が起きました2。ソーシャルメディア上の基本的なオンラインリサーチだけで、攻撃者は最終的に数十億ドル規模の企業のコンピューターシステムをコントロールすることに成功たようです。このようなタイプの攻撃やシナリオが、ほぼ無限のリソースを持つグローバルブランドに起こりうるとしたら、中堅企業にとってどういうことなのでしょうか?
このような非常に巧妙なネットワークアクセスにより、攻撃者は大きな影響力を持ち、身代金を要求したり、ダークウェブ上で機密データを開示、販売したりします。これは、企業の評判に大きなダメージを与え、潜在的な株価の下落やデータプライバシーを懸念する消費者を遠ざけることになるのです。
個人用デバイスの業務利用の代償は高くつく
企業はまた、人は自分の生活をできるだけ楽にしたいという自然な傾向があり、常に業務の簡素化と合理化を求めているという事実に対処しなければなりません。このような傾向は、個人用のデバイスの使用拡大につながっており、ビジネスプロセスだけでなく、企業のセキュリティにおける可視性と制御を失うことで、企業にとって危険なリスクをもたらす可能性があります。このようなリスクは、必ずしも従業員が悪意を持って引き起こすわけではなく、むしろ便利でタイムリーな方法で物事を成し遂げたいという人間的な衝動を反映しているに過ぎません。個人所有のデバイスを使用することは、ビジネスの生産性という点でメリットがある一方で、その使用によって職場環境の完全性が損なわれる可能性もあります。最も懸念されるのは、規制遵守が機能しないために、企業が金銭的責任負担にさらされることです。
これは、2021年に明るみに出た、米国の金融サービス業界におけるいくつかの有名な事件と似ています。多くの大手金融サービスプロバイダーが、従業員による非公認のメッセージングサービス利用に対する指導が不十分であったことと、従業員によるすべての公式コミュニケーションの維持・保存を怠ったことに対して、米国証券取引委員会(SEC)から多額の罰金(900万米ドルから1億米ドル以上)が科されたのです3。その結果は、評判と財政の両面における大きな損害でした。
人為的なリスクを過小評価することはできません。最近のニュースの見出しを飾る多くの不幸な物語が強調するように、デジタル環境には危険とリスクが満ちており、今日の企業にとっての課題は、攻撃とデバイスの誤操作の両方に対して常に適切な対応をしながら、業務への潜在的なリスクを最小限に抑えることです。
手近な”獲物”を攻撃:人とそのデバイス
リスクの観点から見ると、こうした簡単に獲れる”獲物”には人間の弱さが関係していることは疑いの余地がありません。このような弱点はどのように悪用あるいは引き出されるのでしょうか?ベライゾンの「2024年度データ漏洩/侵害調査報告書」(DBIR)は、こうした脅威について解説しています。
人的要素
フィッシングの対象には、従業員や経営幹部だけでなく、顧客やサプライチェーンの第三者も含まれます。これらの人々は、スプレーアンドプレイのメールフィッシングの手口(あたりは運任せでメールを打ちまくる)で標的にされることがありますが、スピアフィッシング(特定の個人を標的)、ホエーリング(幹部従業員を標的にするスピアフィッシング)、スミッシング(テキストメッセージ/SMSを使ったフィッシング)、ビッシング(電話/音声を使ったフィッシング)攻撃も展開され、成功してしまうケースが増えています。これらのタイプの攻撃は、テクノロジーの知識をほとんど必要としないため、ソーシャルネットワーク上のバックグラウンドの二次調査や、工夫を凝らした詐欺行為だけで攻撃者には十分なのです。
- 2023年度のDBIRによると、情報漏洩の74%には人的要素が含まれており、「エラー」、「特権の悪用」、「盗まれた認証情報の悪用」、「ソーシャルエンジニアリング」に人が関与しています
- • ビジネスメール詐欺(BEC)攻撃(攻撃者がシナリオをでっち上げるなりすまし)は、DBIRのインシデントデータセット全体で過去1年間でほぼ倍増し、現在ではソーシャルエンジニアリングパターンのインシデントの50%以上を占めています。さらに、連邦捜査局(FBI)のインターネット犯罪苦情センター(IC3)が報告しているように、BEC攻撃は2022年に103億米ドルの損害を与えています。
脆弱なテクノロジー
脆弱性のあるテクノロジーには、パソコン、モバイル機器、ネットワークシステム、クラウドインフラ、ソフトウェア、アプリケーションなどがあります。新型コロナウイルス感染症流行後はリモートワークが定着しており、リモートワーカーの92%4が個人所有のデバイスを業務に使用しています。また、これらのデバイスを娯楽(ソーシャルメディア、モバイルアプリなど)にも使用しており、潜在的なサイバーリスクをもたらしています。これは、ポリシーや規制のコンプライアンスリスクやデータ漏洩/侵害の要因となり、企業にとって大きな課題となっています。ベライゾンのMobile Security Index(MSI)によると、2022年には個人用デバイスの50%以上がモバイルフィッシング攻撃の餌食になり、テキストメッセージング(SMS)攻撃の確率は6倍から10倍に高まっています(メールのフィッシング攻撃との比較)。問題は、これらの個人用デバイスは従業員個人が管理している可能性が高く、企業はデバイスの使用をほとんど管理または可視化できないことです。その結果、従業員は知らず知らずのうちに脅威と関わりを持ち、手遅れになるまでその活動に気づかない可能性があるのです。
- 盗難にあったデバイス(ノートパソコン、携帯電話など)は確かに組織にとってリスクとなりますが、従業員が紛失によって偶然に侵害を引き起こす可能性の方がはるかに高くなっています。
- ベライゾンのMSIによると、従業員の78%が個人的な活動(ソーシャルメディア、メールなど)に業務用デバイスを使用し、約半数が友人や家族に業務用デバイスを使用させています。一見問題がなように見えるこれらの行動も、デバイスが保護監視されていなければ、全社的なネットワーク侵害につながる可能性があります。
- 小型の携帯デバイスにはより多くの情報が保存されており、従業員がそれを置き忘れることが多くなっています。したがって従業員が仕事用のデバイスを個人的なことに使用するというパターンは組織にとって依然と問題なのです。
BYODは本当にリスクに見合うのか?
BYODのリスクを受け入れようとする企業もあることに注目すべきでしょう。従業員の生産性を向上させるため、あるいはIT支出を削減するために個人所有のデバイスを許可することを選択する企業もあるのです。しかし、従業員の個人デバイスを管理できないことに伴うサイバーリスクは、放置できない大きな課題です。
考慮すべきもう1つの要因は、BYODおよびCYOD(Choose Your Own Device:企業が指定したデバイスから従業員が選択)に対するサプライチェーンにおける管理の欠如です。NIST SP 800-124r2で言及されているように、従業員はルート化されたデバイス、脆弱なアプリでジェイルブレイクされたデバイス、あるいはユーザが知らないうちにマルウェアに感染したデバイスを使用している可能性があります5。従業員のデバイスの出どころを特定できない場合、IT チームはすでに不利な立場に立たされているのかもしれません。最終的に、企業は人間の弱さとBYODポリシーの代償を払うことになるのです。しかし、解決策は十分にあり、絶望的というわけではありません。ベライゾンは、この分野で実績のある、進化した、包括的なソリューションを構築するために邁進しているプロバイダーの一社です。
ベライゾンがサポートできること
規制がある業界のサポート
ベライゾンは、さまざまな業種における企業のお客様のためのセキュリティ強化に取り組んできました。特筆すべきは、規制強化の圧力と複雑化するソーシャルエンジニアリングという2つの側面から増大する課題に直面している、金融サービスのような規制の厳しい業種の組織を守るためにサポートしてきたことです。規制を受ける企業では、最低限、企業が管理するデバイスが必要です。前述したように、個人所有のデバイスを記録管理ソフトウェアなしで使用することは、規制対象企業にとって、法的にも金銭的にも重大な結果をもたらします。
米国だけでも、SECが金融機関の記録管理手法の調査を開始して以来、15億米ドル以上の罰金が科されています6。その中には、従業員がテキストメッセージ/WhatsAppを通じて個人端末で取引や取引について話し合うことを許可したために[2{4}18億米ドルの罰金を科せられたウォール街の16社も含まれています7。モバイルデバイス管理(MDM:Mobile Device Management)ソフトウェアがサイバー脅威の抑止に役立つとしても、個人用デバイスには依然として重大なリスクが潜んでいます。
企業が管理するデバイスには、BYODでは得られないセキュリティ上のメリットがあります。個人用デバイスを企業支給のものと交換することで、ITスタッフは社内外とのコミュニケーションだけでなく、モバイルデバイスのさまざまな整合性やセキュリティの側面をよりよく把握できるようになります。企業はベライゾンから提供された企業管理のデバイスを支給することで、個人用デバイスでは利用できない強化されたセキュリティ保護とコントロールを得ることができます。
これは、組織の一般的な脆弱性に対処するのに役立ちます。たとえば、多くの企業は規制当局に従おうとする一方で、大量のロボコールにも対応しなければなりません。残念ながら、銀行にとって、ロボコールの検知は難しくなっています。なぜなら、攻撃者は高度なディープフェイクテクノロジーを使って合成音声を再現し、銀行顧客になりすますことができるからです。
このような攻撃に対処するために使用できるベライゾンのソリューションには
集中的な攻撃を受けている規制対象組織は金融サービスだけではありません。ヘルスケアプロバイダーも、チャンスへの便乗を狙っているソーシャルエンジニアに狙われており、スミッシング攻撃やビッシング攻撃を通じて、同様に従業員を標的にしています。サードパーティの低品質なインターネットサービスプロバイダー(ISP)は、攻撃者に番号を”提供”してしまうことがあり、その結果、攻撃者はその番号を使って従業員を標的として攻撃を仕掛けるのです。
また、ベライゾンはエグゼクティブプロテクションサービスを提供しているため、組織はプロアクティブな防御対策を実行できます。ベライゾンの脅威ハンティングチームは、ダークウェブを捜索し、ソーシャルエンジニアリング攻撃で幹部従業員(および彼らの家族や交友関係)を標的にするために使用される可能性のある、電子メールアドレス、電話番号、物理的住所など、幹部従業員に関連する個人を特定できる情報(PII)の削除をサポートします。
包括的な防御計画の実施
ソーシャルエンジニアリングからネットワークを防御するために、いかなる企業も最初に取らなければならないステップは、直面しているサイバーリスクの性質を理解することです。特定されたリスクをどのように軽減、最小化、移動、または受け入れるかを明確に理解するために、リスクの概要を作成する必要があります。このリスク評価は、自社の資産、脅威の主体、リスク選好度を特定できるため、非常に重要なステップです。そこから、自社のセキュリティ目標がどうあるべきか、どのような危険信号に注意すべきかを判断できるので、包括的な防衛計画の策定がかなり効率的に行えます。
ソーシャルエンジニアリングに対する防御計画は、脅威の検知とトラストエンフォースメントという2つの主な機能から構成されます。両機能は、高レベルの脅威と低レベルの脆弱性を検知し、対処するために等しく適用されます。
脅威検知は、サイバー攻撃、侵害、データ漏洩、インシデントなどの脅威が発生すると、それを特定し、対処することに重点を置くサイバーセキュリティの領域になります。これは、不正アクセス、マルウェア、ソーシャルエンジニアリングなどを発見し、阻止することによって成されます。トラストエンフォースメントとは、ID管理、パスワード、暗号化、アクセス制御、認証などのテクノロジーを活用して、潜在的な攻撃に先手を打つことです。これらの機能はどちらも、ネットワーク、アプリケーション、デバイス、IDを保護する、ソーシャルエンジニアリングに対するより広範な防御計画の基盤を形成します。
ベライゾンは、これらの機能を5つの主要な管理分野、つまり①意識向上トレーニング、②モバイルセキュリティポリシー、③セキュリティ保護コントロール、④検知と対応、および⑤デバイス、アプリケーション、ID、ネットワークにわたるモニタリングとテストにおいて提供しています。
ソーシャルエンジニアリングの推奨防御プラン
知名度、浸透度、経験値で 業界をリード
ベライゾンはセキュリティ分野をリードするネットワークプロバイダーです。トラフィック、デバイス、テクノロジー、ユーザを俯瞰することで、従来のセキュリティベンダーよりも優位性が得られます。ベライゾンは、企業規模を問わず、すべてのお客様に対して、レポート、継続的な脅威の監視、注意喚起など幅広いソリューションを提供しています。包括的にデータを取り込み、分析、そして実用的なインサイトに落とし込みます。
ベライゾンのお客様は、これまで見えなかったものを「見る」という新たな能力を獲得し、いつでも使用されている資産の全範囲と資産間のすべてのやり取りを高レベルで可視化できます。この俯瞰的な視点から、デバイスからネットワークまでの包括的な管理を提供し、それに精査されたセキュリティ制御を重ね合わせることができます。つまり、なりすましが困難な識別を提供する登録ショートコード、4040宛に”Off”とテキスト送信することでSMSへの迷惑メール停止、7726へのスパムメッセージ報告とフィルタリング、STIR/SHAKENによるVoIP(Voice over Internet Protocol)の認証、ベライゾンVoIPネットワーク上の分散型サービス拒否(DDoS)攻撃に対する保護など、ネットワークレベルでの固有のセキュリティのメリットを得ることができます。
すべての組織は、高度化するサイバー脅威を抑制するために、いずれは従業員のデバイスに対するリアルタイムの監視制御を必要とするようになるでしょう。ベライゾンでは、この最後のセキュリティギャップを埋める準備が整っています(BYODデバイスでは完全に達成できないことを念頭に置いています)。ベライゾンは、ワイヤレスネットワーク全体に対する基本的なセキュリティパッケージと、カスタマイズされたセキュリティの両方を提供しています。BYODポリシーからの移行に伴う問題点(セキュリティ上の課題、高額な定期コスト、個人用デバイスの個別の設定やアプリケーション開発の複雑さなど)に対する理解を活かし、企業回線への移行をサポートします。
さらに、ベライゾンは、お客様のソーシャルエンジニアリングの脅威に対する全体的な防御プランの一部として、カスタムサイバーセキュリティソリューションをお客様に合わせて調整することができます。BYODをやめてベライゾンの法人向け回線を利用することで、今日のソーシャルエンジニアリングの手口を適切に評価し、迅速に特定するために必要なきめ細かなインサイトを提供することができます。ベライゾンは、お客様のニーズに合わせ、お客様の資産を保護し、リスクを軽減するための専用の保護メカニズムを導入することができます。これには、脅威ハンティングの経験を持つセキュリティアナリストを配備し、顧客情報を日常的に精査するとともに、疑わしいパターンや攻撃を特定して対応することも含まれます。先に述べたように、従業員が個人所有のデバイスを使用する場合、こうした対応は困難です。
これ以外にも、ベライゾンは、トラストエンフォースメントの実行と脅威の検知に対応できるさまざまなソリューションを提供しています。しかし、重要なことは、すべてはリスク評価から始まるということです。ベライゾンのコンサルティングサービスは、企業のリスク評価をサポートし、それが高度な脅威であれ、一般的で日常的なリスクであれ、セキュリティ態勢に関するアドバイスを提供します。
ベライゾンのサイバーセキュリティの専門知識とネットワークプロバイダーとしての役割は、企業に全体的な視点と包括的なセキュリティ戦略を提供するための完璧な組み合わせを提供します。ベライゾンとパートナーとなることで、主要なセキュリティ製品とサービスを適用して、日常的な単純なサイバー攻撃だけでなく、人、テクノロジー、プロセスを狙うより複雑な脅威に対する保護を可能にするネットワークを構築できます。組織のモバイルデバイスポリシーが引き起こす可能性のあるソーシャルエンジニアリングリスクを効果的に評価するには、次の質問をすることから始まります。
- スマートフォンやタブレットなどの個人所有のデバイスにあるマルウェアやスパイウェア、または機能不全は、可視性、事業運営、企業情報にどのような影響を及ぼすのか?
- 個人所有のデバイスが関連している場合、携帯電話に対する捜査と同意はどのように扱われるのか?
- BYODと企業責任のポリシーを検討する際に、ユーザのプライバシーへの影響を評価したか?
- 管理された環境とBYOD環境における条件付きアクセス制御、利用可能な機能、およびそのギャップを評価したか?
これらのモバイルセキュリティの脅威と対処についての詳細はは、NISTモバイルデバイスセキュリティサイトにアクセスすることをお勧めします。
ベライゾンは、企業向けにカスタマイズした5つのソーシャルエンジニアリング防御プランを提供しています。詳細については、営業担当者にお問い合わせいただくか、スペシャリストにお問い合わせください。verizon.com/business/ja-jp/contact-us/
1 “Security update,” Uber newsroom, September 16, 2022. https://www.uber.com/newsroom/security-update
2 “MGM Resorts computers back up after 10 days as analysts eye effects of casino cyberattacks,” The Associated Press, September 21, 2023. https://apnews.com/article/vegas-mgm-resorts-caesars-cyberattack-shutdown-a01b9a2606e58e702b8e872e979040cc
3 “SEC Charges 11 Wall Street Firms with Widespread Recordkeeping Failures,” U.S. Securities and Exchange Commission press release, August 8, 2023. https://www.sec.gov/news/press-release/2023-149
4 “New Lookout Research Highlights Increased Security Risks Faced by Organizations Due to Remote Work and BYOD,” Lookout press release, April 3, 2023. https://www.prnewswire.com/news-releases/new-lookout-research-highlights-increased-security-risks-faced-by-organizations-due-to-remote-work-and-byod-301787467.html
5 “Guidelines for Managing the Security of Mobile Devices in the Enterprise,” National Institute of Standards and Technology, May 2023. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-124r2.pdf
6 “SEC Charges 11 Wall Street Firms with Widespread Recordkeeping Failures,” U.S. Securities and Exchange Commission press release, August 8, 2023. https://www.sec.gov/news/press-release/2023-149
7 “U.S. fines 16 Wall Street firms $1.8 bln for talking deals, trades on personal apps,” Reuters, September 27, 2022. https://www.reuters.com/business/finance/us-fines-16-major-wall-street-firms-11-billion-over-recordkeeping-failures-2022-09-27