世界5,400名のIT専門家を対象とした独立調査に基づいた調査レポート「SOPHOS フィッシングインサイト 2021」を解説します。
フィッシング攻撃だと見なされるものには大きなばらつきがあります。一般的には、実在する企業(組織)のウェブサイトやメールを偽装して、クレジットカード情報やパスワードなどを入力させ個人情報を搾取する詐欺行為をさします。しかし46%のIT専門家は、企業の社長になりすまし経理担当に送金させたり、取引先企業を偽り請求書を送って金銭をだまし取る、ビジネスメール詐欺(BEC:Business Email Compromise)もフィッシングの一つであると回答しています。さらに、36%のIT専門家は、「スレッドハイジャック」手法による偽装攻撃もフィッシングであると考えています。この手口は、なりすます本人から盗んだメールを利用して正当なユーザーからの返信であるかのように見せかける高度な偽装メールによる攻撃です。
| 業種 | 回答率 |
|---|---|
| 中央政府および政府外公共機関 | 77% |
| ビジネス/プロフェッショナルサービス | 76% |
| 医療 | 73% |
| メディア/レジャー/エンターテイメント | 72% |
| エネルギー/石油・ガス/公共サービス | 72% |
| 小売 | 71% |
| 教育 | 71% |
| その他 | 71% |
| 地方自治体 | 69% |
| 流通/輸送 | 68% |
| 金融サービス | 68% |
| 建設/不動産 | 68% |
| IT/テクノロジー/通信 | 68% |
| 製造/生産 | 66% |
大規模なランサムウェア攻撃がどのように始まったか?
| ① | 攻撃の 3カ月前に、従業員がフィッシングメールを受信。
|
|---|---|
| ② | 8週間後、攻撃者が被害者のコンピュータにCobalt StrikeとPowerStploit PowerViewの2つのツールをインストールして実行しました。 これらは、ペネトレーションテスト用ツールキット(インターネットなどのネットワークに接続されているシステムに対して、様々な技術を使って侵入を試みることで、システムにセキュリティ上の脆弱性が存在するかどうかをテストをするためのツール)として一般に販売されているものです。 |
| ③ | 一旦、攻撃者の活動は静かになりました。 ブローカーがこの企業へのアクセス情報を購入する第二の攻撃者を探していたためだと思われます。 |
| ④ | アクセス情報が販売されると、第二の攻撃者はそのアクセス情報を活用してネットワークに侵入し、より多くのマシンにCobalt Strikeをインストールし、情報の収集と窃盗を開始しました。 一番初めのフィッシングメールから 3カ月後に、攻撃者は現地時間の午前4時に 「Revil」ランサムウェアで攻撃を仕掛け、250万ドルの身代金を要求しました。 |
ソフォスは、ランサムウェアに関する調査を毎年実施しており、世界各国の中堅企業におけるランサムウェア攻撃の影響や対策の現状について、最新の知見を提供しています。また、攻撃の拡散状況や組織が受けた影響を調査し、前年と比較して傾向を特定しています。
Sophos Emalの詳細については、こちらから 〉